JP2006033340A - Wireless communication system and digital certificate issuing method - Google Patents
Wireless communication system and digital certificate issuing method Download PDFInfo
- Publication number
- JP2006033340A JP2006033340A JP2004208483A JP2004208483A JP2006033340A JP 2006033340 A JP2006033340 A JP 2006033340A JP 2004208483 A JP2004208483 A JP 2004208483A JP 2004208483 A JP2004208483 A JP 2004208483A JP 2006033340 A JP2006033340 A JP 2006033340A
- Authority
- JP
- Japan
- Prior art keywords
- wireless communication
- access point
- electronic certificate
- communication terminal
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、無線通信を用いて情報処理装置を相互接続するシステムに関する。 The present invention relates to a system for interconnecting information processing apparatuses using wireless communication.
従来、IEEE802.11の標準規格に基づく無線LANを用いた無線通信方法において、その無線通信を行う無線LANのアクセスポイントと無線通信端末間で流れるデータをWEP(Wired Equivalent Privacy)と呼ばれる64bitsまたは128bitsの暗号鍵を用いて暗号化することにより、無線区間のデータを盗聴などから保護してきた。また、IEEE802.1x/EAPと呼ばれる認証方法のうち、無線通信を行う機器同士が自分の身元を相互に証明するために、電子証明書を用いるEAP-TLSと呼ばれる方法がある。この電子証明書を認証方法に用いることによって、認証確認後、一定時間が経過するごとにWEPを変え、WEPの解読を困難にし、無線区間を流れる暗号化されたデータを容易に解読できなくする方法がある。 Conventionally, in a wireless communication method using a wireless LAN based on the IEEE802.11 standard, data flowing between a wireless LAN access point and a wireless communication terminal for performing wireless communication is 64 bits or 128 bits called WEP (Wired Equivalent Privacy). The data in the wireless section has been protected from eavesdropping and the like by encrypting using the encryption key. Also, among authentication methods called IEEE802.1x / EAP, there is a method called EAP-TLS that uses electronic certificates in order for devices performing wireless communication to mutually verify their identities. By using this electronic certificate as an authentication method, WEP is changed every time a certain amount of time passes after authentication is confirmed, making it difficult to decrypt WEP and making it impossible to easily decrypt encrypted data that flows in the wireless zone. There is a way.
この方法を表すシステム構成を図示したものが図2である。図2において、201は無線通信端末、202は無線通信端末201と無線通信を行うアクセスポイント、203は有線LANネットワーク、204は無線通信端末201がアクセスポイント202経由で有線LANネットワーク203にアクセス可能かどうかを認証するための認証サーバ(Radiusサーバ)、205は無線通信端末201、認証サーバ204が自身の身元を証明するためにそれぞれ所持しなければならない電子証明書の発行及び該電子証明書の発行先である人物・機器等を登録するための証明書サーバである。本構成のシステムにおいて、無線通信端末201がアクセスポイント202に接続・動作を行うためには、認証サーバ204にてアクセスポイントに接続してよいユーザであるかどうかを、電子証明書を用いて認証する必要がある。
FIG. 2 shows a system configuration representing this method. In FIG. 2, 201 is a wireless communication terminal, 202 is an access point for performing wireless communication with the
そのために無線通信端末201は、予め証明書サーバ205から自身の身元を証明するための電子証明書を発行してもらう必要がある。その認証サーバに発行してもらった電子証明書をアクセスポイントに接続する前に予め所持しておかなければ、アクセスポイントと相互認証をした後、IEEE802.1x/EAPにより、区間を流れるデータを暗号化するための暗号鍵であるWEPを一定時間ごとに変更することができない。同様に認証サーバも自身の身元を証明するための電子証明書を持っている必要がある。
IEEE802.1x/EAP認証のうちのEAP-TLS認証方法を用いて無線通信区間を流れるデータを暗号化するWEPを一定時間ごとに変更するためには、通信する機器間において相互の電子証明書を交換しなければならない。上記従来の技術で記した通り、現状、電子証明書を持つには、電子証明書を発行する認証サーバから予め自身の身元を証明するための電子証明書を発行してもらい、該電子証明書を無線通信端末内に保管しておかなければならない。一般にこの認証サーバは、第3機関の認証局が運営する認証サーバかもしくは、社内のサーバである。第3機関または社内の認証サーバから電子証明書を発行してもらうときの課題として以下のようなものがある。 In order to change the WEP that encrypts data flowing in the wireless communication section using the EAP-TLS authentication method of IEEE802.1x / EAP authentication at regular intervals, mutual digital certificates must be exchanged between communicating devices. Must be replaced. As described in the above-mentioned conventional technology, in order to have an electronic certificate at present, an electronic certificate for proving its own identity is issued in advance from an authentication server that issues the electronic certificate. Must be stored in the wireless communication terminal. Generally, this authentication server is an authentication server operated by a certificate authority of a third organization or an in-house server. There are the following issues when an electronic certificate is issued from a third institution or an in-house authentication server.
・発行時間がかかる
・発行コストが高い(第3機関の場合)
・認証サーバ管理者をおかなければならない(社内の場合)
・ Issuance time is required ・ Issuance cost is high (in the case of 3rd organization)
-You must have an authentication server administrator (in-house)
上記課題を解決するために、本発明は、無線通信端末に認証局用の一対の秘密鍵と公開鍵データを保持するとともに、その認証局用秘密鍵を用いた電子証明書発行機能を有するアプリケーションソフトウェアを予めインストールすることにより、無線通信端末自身でその無線通信端末の電子証明書を発行できる。これにより上記課題の発行時間を短くできる。また、アクセスポイント内に認証サーバ機能と無線通信端末の電子証明書登録機能を備え、会議主催者が、アクセスポイントに接続した通信端末から無線通信端末の発行した電子証明書をアクセスポイントに登録できる。これにより認証サーバの管理者をおかなくても良いし、第3機関に頼らないので、第3機関で構築すべき認証サーバとその管理者が不要になり、その分のコストが低減できる。 In order to solve the above-described problems, the present invention provides an application having a pair of private key and public key data for a certificate authority in a wireless communication terminal and an electronic certificate issuing function using the private key for certificate authority By installing the software in advance, the wireless communication terminal itself can issue an electronic certificate of the wireless communication terminal. Thereby, the issue time of the said subject can be shortened. In addition, the access point has an authentication server function and an electronic certificate registration function for the wireless communication terminal so that the conference organizer can register the electronic certificate issued by the wireless communication terminal to the access point from the communication terminal connected to the access point. . This eliminates the need for an administrator of the authentication server and does not rely on the third institution, so that the authentication server to be constructed in the third institution and its administrator are unnecessary, and the cost can be reduced accordingly.
以上説明したように、本発明によれば、無線通信端末とアクセスポイント間の無線通信区間をIEEE802.1x/EAPと呼ばれる認証方法を用いた電子証明書を用いた相互認証を行い、無線区間を流れるデータを暗号化するための暗号鍵であるWEPを一定時間ごとに変更できるようにした。この認証方法は、第3機関の認証局から予め電子証明書を発行してもらう必要がなく、また、認証局を社内で構築する際に必要な認証サーバの管理者も必要ないので、これらにかかる時間、費用、人的資源の削減が可能となる。 As described above, according to the present invention, the wireless communication section between the wireless communication terminal and the access point is subjected to mutual authentication using an electronic certificate using an authentication method called IEEE802.1x / EAP, and the wireless section is WEP, which is an encryption key for encrypting flowing data, can be changed at regular intervals. This authentication method does not require a third-party certificate authority to issue an electronic certificate in advance, nor does it require an administrator of the authentication server required to build the certificate authority in-house. Such time, cost, and human resources can be reduced.
図1は、本発明を最もよく表す図で、会議室における無線通信システムの概略図である。101は無線通信端末で、以下に説明する102から105まではこの無線通信端末内の機能ブロックである。102は無線通信部であり、無線通信におけるデータの送受信を行う。103は電子証明書発行部であり、無線通信端末自身の身元を証明するための電子証明書の発行を行う。104は記憶装置部であり、103の電子証明書発行部で発行した電子証明書、無線データの暗号を行う暗号鍵、及びアプリケーションソフトウェアなどを記憶する。105は制御部であり、無線通信端末の動作を制御する。106はアクセスポイントで、以下に説明する107から111まではこのアクセスポイント内の機能ブロックである。107は無線通信部であり、無線通信におけるデータの送受信を行う。108は認証サーバ部であり、無線通信端末から受け取った電子証明書の認証を行う。109は認証クライアント部であり、無線通信端末から受け取った認証要求を認証サーバに受け渡す。110は記憶装置部であり、108の認証サーバ部の電子証明書、無線通信で受け取った無線通信端末の電子証明書、無線データの暗号を行う暗号鍵、及びアプリケーションソフトウェアなどを記憶する。111は制御部であり、アクセスポイント内の動作の制御を行う他、記憶装置部110に記憶されている暗号鍵生成プログラムを実行して暗号鍵を生成する。112は通信端末であり、106のアクセスポイントに接続してアクセスポイントを制御する。
FIG. 1 best represents the present invention and is a schematic diagram of a wireless communication system in a conference room.
以下に説明する113から115までは通信端末112内の機能ブロックである。113は表示部であり、アクセスポイントから受け取ったデータを表示する。114は入力部であり、アクセスポイントから受け取ったデータを加工するための入力装置である。115は制御部であり、通信端末内の動作を制御する。116は有線LANネットワークである。101、106、112を囲っている四角の枠は会議室を表す。
Reference numerals 113 to 115 described below are functional blocks in the
本実施例では、このネットワーク構成で接続された機器群を会社の会議室で行われる会議に使用する前提とする。従って、会議の参加者が各々無線通信端末を持参し、無線通信端末の無線通信部を用いて会議室に設置されているアクセスポイントの無線通信部と無線接続し、アクセスポイントを介して無線通信端末同士が会議室内の特定無線ネットワーク(PAN; Personal Area Network)を構築後、無線通信端末間でのデータ通信を行い、また、有線LANケーブルを通して会社内のイントラネットに接続する。尚、この無線通信は、会議における重要なデータを送受信するため、PANに参加可能な無線通信端末は、会議参加者の持参する端末に限定する必要がある。そのため、会議主催者が通信端末112を用いてアクセスポイント106を制御し、アクセスポイントに接続可能な無線通信端末を選別する。
In the present embodiment, it is assumed that a group of devices connected in this network configuration is used for a conference held in a company conference room. Therefore, each participant of the conference brings a wireless communication terminal, wirelessly connects to the wireless communication unit of the access point installed in the conference room using the wireless communication unit of the wireless communication terminal, and wirelessly communicates via the access point. The terminals establish a specific wireless network (PAN: Personal Area Network) in the conference room, and then perform data communication between the wireless communication terminals, and connect to a company intranet through a wired LAN cable. In addition, since this wireless communication transmits / receives important data in the conference, it is necessary to limit the wireless communication terminals that can participate in the PAN to terminals that the conference participants bring. Therefore, the meeting organizer controls the
図3は、先に記した無線通信端末にて電子証明書を発行する機能を含み、アクセスポイントに接続する際に起動する接続機能を有するアプリケーションソフトを無線通信端末にインストールするときのフローチャートで、端末ユーザの動作及びアプリケーションソフトの動作を表す。ここで言う電子証明書を発行する機能の中には、その電子証明書にデジタル署名するために必要な認証局の秘密鍵やその秘密鍵と対になる公開鍵もアプリケーションソフトが有するデータの中に含んでいる。このアプリケーションソフトのインストール動作を行うことにより本フローは始まる。ステップS301では、ユーザ名の入力を促す表示が無線通信端末の表示画面に表示されることにより端末のユーザは、自分の名前を端末の入力装置を用いて入力する。ステップS302は、ユーザの会社名、所属名の入力を促す表示が端末の表示画面に表示されることにより端末のユーザは、自分が属する会社の名前、所属の名前をステップS301同様、端末の入力装置を用いて入力する。ステップS303では、アプリケーションソフトは、無線通信端末自身の秘密鍵、公開鍵を作るためのアルゴリズムにより、ランダムに生成される秘密鍵、公開鍵のペアを生成し、その秘密鍵、公開鍵を端末の記憶装置に記憶させる。尚、前記アルゴリズムは電子証明書を発行する際に必要な機能であり、電子証明書発行機能の一部として存在する。 FIG. 3 is a flowchart when installing application software having a connection function that is activated when connecting to an access point, including the function of issuing an electronic certificate in the wireless communication terminal described above, It represents the operation of the terminal user and the operation of the application software. Among the functions for issuing an electronic certificate mentioned here, the private key of the certificate authority necessary for digitally signing the electronic certificate and the public key paired with the private key are also included in the data held by the application software. Is included. This flow starts by performing the installation operation of this application software. In step S301, a display prompting the user to input a user name is displayed on the display screen of the wireless communication terminal, whereby the user of the terminal inputs his name using the input device of the terminal. In step S302, a display prompting the user to enter the company name and affiliation name is displayed on the terminal display screen, so that the user of the terminal inputs the name of the company to which he belongs and the name of the affiliation as in step S301. Enter using the device. In step S303, the application software generates a private key / public key pair that is randomly generated by an algorithm for generating the private key / public key of the wireless communication terminal itself, and the secret key / public key is Store in a storage device. The algorithm is a function necessary when issuing an electronic certificate, and exists as a part of the electronic certificate issuing function.
ステップS304では、アプリケーションソフトは、ステップS301、302のユーザ固有情報とステップS303で生成した公開鍵をデータとした電子証明書を作成し、この電子証明書のデジタル署名を予め本アプリケーションソフトに付随していた認証局の秘密鍵を用いて署名を施し、電子証明書を端末の記憶装置に記憶させ、本フローチャートを終了する(尚、この電子証明書に署名を施す認証局は、図1で記したアクセスポイント内の認証サーバ自身を証明するための電子証明書の署名に使用される認証局と同じものである。)。 In step S304, the application software creates an electronic certificate using the user-specific information in steps S301 and 302 and the public key generated in step S303 as data, and the digital signature of the electronic certificate is attached to the application software in advance. The digital certificate is signed using the private key of the certificate authority that has been stored, the electronic certificate is stored in the storage device of the terminal, and this flowchart is terminated (the certificate authority that signs the digital certificate is described in FIG. 1). This is the same certificate authority that is used to sign an electronic certificate to prove the authentication server itself in the access point.)
図4は、図1に示した無線通信端末101、アクセスポイント102とアクセスポイントに接続された通信端末103を操作するアクセスポイント管理者の動作を表したシーケンス図であり、無線通信端末101とアクセスポイント102が電子証明書を用いた認証を行った後、無線通信区間を流れるデータを暗号化するWEPを定期的に変更する“動的WEP”に対応するまでの動作を示す。尚、本シーケンスでは、アクセスポイントは、動的WEPに移行する前の認証として、オープン認証を行うものとする。オープン認証とは、予めアクセスポイントに設定するアクセスポイントの識別子情報(アクセスポイントを特定するために設定される識別子)であるESS-IDを設定せず(又は“Any”と設定)、無線通信データを暗号化するWEPの設定も行わない状態で無線通信端末と接続する方法である。
FIG. 4 is a sequence diagram showing the operation of the access point manager operating the
WEPの設定を行わない場合、無線通信端末からの認証要求に対してアクセスポイントは、その要求を行った無線通信端末全てに対して認証に成功したとみなして応答を返す。本図を順に説明すると、ステップS401では、無線通信端末は、アクセスポイントが定期的に送出するアクセスポイントの情報を含んだビーコンと呼ばれる電波信号を受信する。ステップS402では、無線通信端末は、S401で受信したビーコンを解析し、そのビーコンを発したアクセスポイントに対してプローブ(探索)要求と呼ばれる要求信号を送信する。ステップS403では、アクセスポイントは、S402でプローブ要求を送信した無線通信端末全てに対してプローブ応答を返す。ステップS404では、無線通信端末はアクセスポイントに対して自分を認証してもらうための要求として認証要求を送信する。ステップS405では、アクセスポイントは、認証要求を送信した無線通信端末全てに対して認証応答を返す。ステップS406では、無線通信端末は、アクセスポイントに対して自分を登録してもらうための要求としてアソシエーション(登録)要求を送信する。ステップS407では、アクセスポイントは、アソシエーション要求を送信した無線通信端末全てに対してアソシエーション応答を返し、要求にきた無線通信端末のMACアドレスを自身の記憶装置に記憶する(登録する)。 When WEP is not set, the access point responds to authentication requests from wireless communication terminals by assuming that authentication is successful for all wireless communication terminals that have made the request. Describing the drawings in order, in step S401, the wireless communication terminal receives a radio wave signal called a beacon including information on an access point that is periodically transmitted by the access point. In step S402, the wireless communication terminal analyzes the beacon received in S401, and transmits a request signal called a probe (search) request to the access point that issued the beacon. In step S403, the access point returns a probe response to all the wireless communication terminals that transmitted the probe request in S402. In step S404, the wireless communication terminal transmits an authentication request as a request for authenticating itself to the access point. In step S405, the access point returns an authentication response to all the wireless communication terminals that transmitted the authentication request. In step S406, the wireless communication terminal transmits an association (registration) request as a request for having the access point register itself. In step S407, the access point returns an association response to all the wireless communication terminals that transmitted the association request, and stores (registers) the MAC address of the wireless communication terminal that has received the request in its own storage device.
ステップS408では、無線通信端末とアクセスポイント間で、WEP(暗号化)なしの無線通信セッションが確立する。このセッションは、OSI(Open System Interconnection)参照モデルで言うデータリンク層レベルであるので、この上でTCP/IPプロトコルを張り、さらにその上でアプリケーションソフトウェアを動作させることにより、無線通信端末とアクセスポイントは、IPアドレスを用いた通信を行う。これ以降のステップのシーケンスは、IPアドレスベースの通信であり、無線通信端末、アクセスポイント、通信端末上の各々のアプリケーションソフトウェアが協調動作して無線通信を行う。 In step S408, a wireless communication session without WEP (encryption) is established between the wireless communication terminal and the access point. Since this session is at the data link layer level in the OSI (Open System Interconnection) reference model, the TCP / IP protocol is set on this, and the application software is operated on the TCP / IP protocol. Communicates using an IP address. The sequence of steps thereafter is IP address-based communication, and wireless communication terminals, access points, and application software on the communication terminals operate in cooperation to perform wireless communication.
ステップS409では、会議主催者は、アクセスポイントに有線接続されている通信端末からアクセスポイントに対してユーザ情報要求を送信する。ここで言う、ユーザ情報とは、アクセスポイントと接続している無線通信端末の所有者の情報である。ステップS410では、アクセスポイントは、現在自身と接続している全ての無線通信端末に対して通信端末から受信したユーザ情報要求を送信する。ステップS411では、無線通信端末は、図3のフローチャートのS301、S302で無線通信端末の所有者が入力した氏名、会社名、所属名などの情報をアクセスポイントに送信する。ステップS412では、アクセスポイントは、S411で無線通信端末から受信したユーザ情報を通信端末112に送信する。
In step S409, the meeting organizer transmits a user information request to the access point from the communication terminal connected to the access point by wire. Here, the user information is information on the owner of the wireless communication terminal connected to the access point. In step S410, the access point transmits the user information request received from the communication terminal to all the wireless communication terminals currently connected to the access point. In step S411, the wireless communication terminal transmits information such as the name, company name, and affiliation name input by the owner of the wireless communication terminal in steps S301 and S302 in the flowchart of FIG. 3 to the access point. In step S412, the access point transmits the user information received from the wireless communication terminal in S411 to the
通信端末は、受信したユーザ情報を表示装置に表示し、その表示された情報を元に会議主催者は、通信端末の入力装置を用いてアクセスポイントに接続していい端末とそうでない端末の選択を行う。ステップS413では、通信端末は、会議主催者が選択した無線通信端末の情報をアクセスポイントに送信する。アクセスポイントは、この情報を記憶装置に記憶する。ステップS414では、アクセスポイントは、通信端末から受信した無線通信端末の情報とS408でセッションを確立したときに自身の記憶装置に登録した無線通信端末の情報を比較し、一致しないもの、すなわち通信端末で選択されなかった無線通信端末とは接続しないようにMACアドレスによるフィルタリング設定をし、これ以降その無線通信端末とは通信を行わない。基本的に無線通信端末とアクセスポイントとの通信は、アクセスポイントから無線通信端末に対してポーリングを行うことによって通信を確立するので、アクセスポイントから通信を行わないと無線通信端末は、タイムアウトを起こしてセッションを終える。無線通信端末は、アクセスポイントに対して再接続要求(プローブ要求)を送信するが、アクセスポイントは、MACアドレスによるフィルタリングをかけ、応答には応えない。 The communication terminal displays the received user information on the display device, and based on the displayed information, the conference organizer selects a terminal that can connect to the access point using the input device of the communication terminal and a terminal that does not I do. In step S413, the communication terminal transmits information on the wireless communication terminal selected by the meeting organizer to the access point. The access point stores this information in the storage device. In step S414, the access point compares the information on the wireless communication terminal received from the communication terminal with the information on the wireless communication terminal registered in its own storage device when the session is established in S408. Filtering is set by the MAC address so as not to connect to a wireless communication terminal not selected in step 1, and communication with that wireless communication terminal is not performed thereafter. Basically, communication between a wireless communication terminal and an access point is established by polling the wireless communication terminal from the access point. Therefore, if communication is not performed from the access point, the wireless communication terminal will time out. To finish the session. The wireless communication terminal transmits a reconnection request (probe request) to the access point, but the access point performs filtering based on the MAC address and does not respond to the response.
一方、アクセスポイントは、S408で登録し、且つ、通信端末から受信したユーザ情報にもある無線通信端末に対して、ステップS414で識別子名(ユーザ名)を要求する。本ステップ(S414)より、IEEE802.1x/EAP-TLSによる認証ステップとなる。ステップS415では、無線通信端末は、識別子名をアクセスポイントに送信する。ステップS416では、アクセスポイントは、無線通信端末に対して認証サーバ部自身の身元を証明するための電子証明書を記憶装置より読み出し送信する。ステップS417では、アクセスポイントは、アクセスポイント内にある認証サーバ部が信頼する認証局のリストを付加し、そのリストにある認証局発行の電子証明書の要求を行う。ステップS418では、無線通信端末は、S417の応答として、自身の身元を証明するための電子証明書として図3のフローのS304で発行した電子証明書を記憶装置から読み出し、アクセスポイントに送信する。 On the other hand, the access point requests an identifier name (user name) in step S414 from the wireless communication terminal registered in S408 and also in the user information received from the communication terminal. From this step (S414), it becomes an authentication step by IEEE802.1x / EAP-TLS. In step S415, the wireless communication terminal transmits the identifier name to the access point. In step S416, the access point reads and transmits an electronic certificate for proving the identity of the authentication server unit itself to the wireless communication terminal from the storage device. In step S417, the access point adds a list of certificate authorities trusted by the authentication server unit in the access point, and requests an electronic certificate issued by a certificate authority in the list. In step S418, in response to S417, the wireless communication terminal reads the electronic certificate issued in S304 of the flow in FIG. 3 from the storage device as an electronic certificate for certifying its own identity, and transmits it to the access point.
ここで、無線通信端末が発行した電子証明書は、アクセスポイント内の認証サーバ部の電子証明書と同じ認証局の秘密鍵で署名するので、S417でアクセスポイントが要求した認証局のリストに含まれている。ステップS419では、無線通信端末は、S416で受け取ったアクセスポイント内の認証サーバ部の身元を証明する電子証明書の署名を自分が持つ認証局の公開鍵を用いて検証する。検証結果、アクセスポイントが送信した電子証明書が正しいものと判断できるとステップS419で無線通信端末は、認証に成功したことをアクセスポイントに伝える。アクセスポイントでも同様に、S418で受信した無線通信端末の電子証明書を検証し、電子証明書が正しいものと判断できるとステップS420でアクセスポイントは、認証に成功したことを無線通信端末に伝えるとともに、アクセスポイント内の証明書サーバ部に、S415で受信した無線通信端末の識別子名と関連付けてその無線通信端末の電子証明書を記憶装置に登録する。 Here, since the electronic certificate issued by the wireless communication terminal is signed with the same private key of the certificate authority as the certificate of the authentication server in the access point, it is included in the list of certificate authorities requested by the access point in S417. It is. In step S419, the wireless communication terminal verifies the signature of the digital certificate that proves the identity of the authentication server unit in the access point received in S416, using the public key of the certificate authority that it has. As a result of the verification, if it can be determined that the electronic certificate transmitted by the access point is correct, the wireless communication terminal informs the access point that the authentication is successful in step S419. Similarly, in the access point, the electronic certificate of the wireless communication terminal received in S418 is verified, and if it can be determined that the electronic certificate is correct, in step S420, the access point notifies the wireless communication terminal that the authentication is successful. Then, the electronic certificate of the wireless communication terminal is registered in the storage device in association with the identifier name of the wireless communication terminal received in S415 in the certificate server unit in the access point.
ステップS421では、アクセスポイントは、制御部が記憶装置から読み出した暗号鍵生成アルゴリズムにより暗号鍵(WEP)を生成し、そのWEPを無線通信端末の公開鍵で暗号化して無線通信端末に送信するとともに自身の記憶装置にそのWEPを暗号鍵として設定する。(無線通信端末の公開鍵は、無線通信端末の電子証明書の中に入っている。)無線通信端末は、受信したWEPデータを自身の秘密鍵で復号化し、そのWEPを自身の記憶装置に暗号鍵として設定する。ステップS422では、アクセスポイント、無線通信端末の双方とも先に設定したWEPにより、暗号化された無線通信セッションが確立できる。ここで、アクセスポイントは、WEPを変更する時間を設定する機能を持ち、その設定された時間が経過したら今まで設定されていたWEPとは異なるWEPを生成し自身の記憶装置に設定するとともに変更したWEPを無線通信端末に送信する。変更されたWEPを受信した無線通信端末は、そのWEPを今まで設定していたWEPの代わりに暗号鍵として設定して、無線通信端末とアクセスポイント間では新たなWEPを用いた無線通信に移行する。 In step S421, the access point generates an encryption key (WEP) by the encryption key generation algorithm read from the storage device by the control unit, encrypts the WEP with the public key of the wireless communication terminal, and transmits the encrypted key to the wireless communication terminal. The WEP is set as an encryption key in its own storage device. (The public key of the wireless communication terminal is included in the electronic certificate of the wireless communication terminal.) The wireless communication terminal decrypts the received WEP data with its own private key and stores the WEP in its storage device. Set as encryption key. In step S422, both the access point and the wireless communication terminal can establish an encrypted wireless communication session using the previously set WEP. Here, the access point has a function to set the time to change the WEP, and when the set time elapses, a WEP different from the WEP that has been set up until now is generated and set in its own storage device and changed. Send the WEP to the wireless communication terminal. The wireless communication terminal that receives the changed WEP sets the WEP as an encryption key instead of the WEP that has been set up to now, and transitions to wireless communication using a new WEP between the wireless communication terminal and the access point To do.
尚、上記実施例では、アクセスポイントにWEPを用いて接続できる無線通信端末を会議主催者が通信端末を操作することにより選択したが、予めアクセスポイントに接続可能な無線通信端末のMACアドレスをアクセスポイントの記憶装置に設定しておけば、(予め、会議主催者が会議に出席すべき者の会社名、所属、氏名とその会議出席者が持参する無線通信端末のMACアドレスをアクセスポイントの記憶装置に登録する。)S408のWEPなしのセッションが確立した後のS409からS413を省略してアクセスポイントは、S414で記憶装置に記憶してあるMACアドレスを持つ無線通信端末にのみ識別子名を要求してそれ以降のステップを進める(記憶装置に登録されていないMACアドレスを持つ無線通信端末とは通信を行わない。)ことにより、会議出席者が会議室で通信端末の操作することなく無線通信端末とアクセスポイント間の無線通信を確立できる。 In the above embodiment, the conference organizer selects a wireless communication terminal that can be connected to the access point using WEP by operating the communication terminal. However, the MAC address of the wireless communication terminal that can be connected to the access point is accessed in advance. If it is set in the point storage device, the access point memory (the company name, affiliation, and name of the person that the meeting organizer should attend the meeting and the MAC address of the wireless communication terminal that the meeting attendee brings in advance) (Register to the device.) After the S408-less session of S408 is established, S409 to S413 are omitted, and the access point requests the identifier name only from the wireless communication terminal having the MAC address stored in the storage device in S414. And the subsequent steps (not communicating with a wireless communication terminal with a MAC address that is not registered in the storage device) Wireless communication between the wireless communication terminal and the access point can be established without operating the communication terminal.
次に、図5、6は、図4のシーケンス図で説明したS403の、会議主催者がアクセスポイントに接続にきた無線通信端末を選別する際に操作する通信端末112(図1)の表示画面を表した図である。会議主催者は、アクセスポイントに接続した通信端末上で会議参加者を取捨選択するためのアプリケーションソフトウェアを起動させる。このアプリケーションソフトは、通信端末上に予めインストールされており、このソフトは、アクセスポイントとWEPなしのセッションを確立している無線通信端末の情報をアクセスポイントから受け取り、その情報を表示画面に表示させることができる。図4のS408において、アクセスポイントとWEPなしのセッションを確立した無線通信端末の所有者の情報を表したものが図5の画面である。会議主催者は、この画面を見て会議に出席させたい者を図の氏名の左側にあるチェックボックスに通信端末の入力装置を用いてチェックすることによって選択する。今、図5では、上から4人までがチェックされている状態を表す。ここで、画面の下に表示されているボタンを説明すると、選択ボタンは、会議に出席させる者を先のチェックボックスにチェックを行った後に押すことにより、会議に出席させる者が持参した無線通信端末をアクセスポイントに接続させることを確定するためのボタンである。更新ボタンは、現在表示されている無線通信端末の所有者以外にまだ会議に出席するはずの者の氏名が見つからない場合に押すことにより、再度アクセスポイントは新たにセッションを確立にきた無線通信端末があるかどうかを判断し、新たな無線通信端末が発見された場合に、画面上に追加表示させるためのボタンである。 Next, FIGS. 5 and 6 are display screens of the communication terminal 112 (FIG. 1) operated when the conference organizer selects a wireless communication terminal that has connected to the access point in S403 described in the sequence diagram of FIG. FIG. The meeting organizer activates application software for selecting meeting participants on the communication terminal connected to the access point. This application software is preinstalled on the communication terminal, and this software receives information on the wireless communication terminal that has established a session without WEP with the access point from the access point, and displays the information on the display screen. be able to. The screen of FIG. 5 shows information of the owner of the wireless communication terminal that has established a session without WEP with the access point in S408 of FIG. The conference organizer selects a person who wants to attend the conference by checking this screen by checking the check box on the left side of the name in the figure using the input device of the communication terminal. FIG. 5 shows a state where up to four people are checked. Here, the buttons displayed at the bottom of the screen are explained. The selection button is a wireless communication brought by the person who attends the meeting by pressing the check box for the person who will attend the meeting after checking the previous check box. This is a button for confirming that the terminal is connected to the access point. When the update button is pressed when the name of a person who should still attend the conference other than the currently displayed wireless communication terminal owner is not found, the access point again establishes a new session. This is a button for determining whether or not there is a new wireless communication terminal and displaying it on the screen when a new wireless communication terminal is found.
終了ボタンとは、先の通信端末で起動したアプリケーションソフトを終了させるためのボタンである。図5に示してあるように、ここで、会議主催者は、表示画面に表示されたうちの上から4人のチェックボックスをチェックし選択後、選択ボタンを押すと、図6の表示画面に切り替わる。図6では、図5で選択された者のみの氏名及びその者の情報が画面に表示される。ここで、会議主催者は、この画面に表示された者だけをアクセスポイントに接続させてよいかどうかを判断する。表示画面の設定でよい場合は、下に表示されている確定ボタンを押すことにより、画面に表示されている者のみをアクセスポイントに接続可能とし、この設定で確定した情報をアクセスポイントに送信し(図4のS413)、アクセスポイントは、その情報を記憶装置に記憶する。そして、アクセスポイントは、図4のS414で、その記憶した情報を元に無線通信端末を選択し、その選択した無線通信端末に対してのみ識別子名の要求を出す。また、画面に表示されている者に過不足があれば、戻るボタンを押し、図5の画面に戻り、再度選択をやり直す。終了ボタンは、図5で説明した通り、本アプリケーションソフトを終了する場合である。 The end button is a button for ending application software activated on the previous communication terminal. As shown in FIG. 5, here, the meeting organizer checks the check boxes of the top four displayed on the display screen, selects them, and presses the select button to display the display screen of FIG. Switch. In FIG. 6, the names of only the persons selected in FIG. 5 and the information of the persons are displayed on the screen. Here, the meeting organizer determines whether only the person displayed on this screen can be connected to the access point. If the display screen settings are acceptable, only the person displayed on the screen can be connected to the access point by pressing the confirm button displayed below, and the information confirmed by this setting is sent to the access point. (S413 in FIG. 4), the access point stores the information in the storage device. In step S414 in FIG. 4, the access point selects a wireless communication terminal based on the stored information, and issues an identifier name request only to the selected wireless communication terminal. Also, if there are excesses or deficiencies in the persons displayed on the screen, the return button is pressed to return to the screen of FIG. 5 and the selection is performed again. The end button is used to end the application software as described with reference to FIG.
図7は、無線通信端末が発行する自身の身元を証明するための電子証明書の主な記載項目を表した図である。電子証明書には、図のように、発行先として、無線通信端末の所有者氏名の他、その者を特定するための個人情報が記載され、発行者としては、認証局の名前が記載される(図には認証局と記載。)。また、認証局の署名は、認証局の秘密鍵を用いて、特定の平文(暗号化されていない文)を署名アルゴリズムに記載されている暗号化方法に法って暗号化し、その暗号文を認証局の秘密鍵でさらに暗号化したデータと元の平文を電子証明書に付加することで署名とする。無線通信端末には、この電子証明書を発行するための方法として、図3のフローチャートで述べたように、予め電子証明書を発行するためのアプリケーションソフトウェアがインストールされており、そのソフトには、認証局の秘密鍵、公開鍵と言ったデータも格納されている。そのため、従来では、認証局で発行してもらっていた自身の身元を証明するための電子証明書を自分で発行することが可能となる。その無線通信端末が発行した電子証明書を受け取ったアクセスポイントは、その電子証明書に記載されている発行者である認証局の公開鍵を予め持っており、その公開鍵を用いて先の署名が正しいものであるかどうかを検証する。すなわち、アクセスポイントは、認証局の公開鍵を用いて受信した暗号文を復号化することにより、無線通信端末が特定の平文を暗号化したデータに戻す。 FIG. 7 is a diagram showing main description items of an electronic certificate for proving its own identity issued by a wireless communication terminal. As shown in the figure, the electronic certificate contains the name of the owner of the wireless communication terminal as well as personal information for identifying the person, and the name of the certificate authority as the issuer. (Indicated in the figure as Certificate Authority). The signature of the CA is encrypted using the encryption method described in the signature algorithm using the CA private key and the plaintext (unencrypted text) is encrypted. The signature is obtained by adding the data further encrypted with the private key of the certificate authority and the original plaintext to the electronic certificate. As described in the flowchart of FIG. 3, application software for issuing an electronic certificate is installed in advance in the wireless communication terminal as a method for issuing the electronic certificate. Data such as the certificate authority's private key and public key are also stored. Therefore, conventionally, it is possible to issue an electronic certificate for proving its own identity, which has been issued by a certificate authority. The access point that has received the electronic certificate issued by the wireless communication terminal has the public key of the certificate authority that is the issuer described in the electronic certificate in advance, and uses the public key to sign the previous signature. Verify that is correct. That is, the access point decrypts the ciphertext received using the public key of the certificate authority, thereby returning the data to the data obtained by encrypting the specific plaintext by the wireless communication terminal.
また、無線通信端末の電子証明書には、その特定の平文データも含まれているので、アクセスポイントは、その平文を同じく電子証明書に記載されている署名アルゴリズムを用いて暗号化をする。この暗号化データと先に認証局の公開鍵で復号化したデータを比較し、その比較したデータ同士が一致すれば、その電子証明書が正しいものであると判断し、その電子証明書を送信してきた無線通信端末が電子証明書に記載された発行先に記載されている者の端末であると判断する。本実施例では、無線通信端末の身元を証明するための電子証明書は、電子証明書に記載されている信頼される認証局(発行者)が実際に発行したのではなく、無線通信端末内にある認証局の秘密鍵を用いて無線通信端末自身が発行したものであるが、図4のS413で記載したように、会議主催者がアクセスポイントに接続されている通信端末を用いて、会議出席者を取捨選択後、選択した端末のみをアクセスポイント内の記憶装置に登録することにより、先の無線通信端末自身が発行した電子証明書は、会議主催者により正規の認証局が発行した電子証明書と同等と考えることができる。 Further, since the specific plaintext data is also included in the electronic certificate of the wireless communication terminal, the access point encrypts the plaintext using the signature algorithm similarly described in the electronic certificate. Compare this encrypted data with the data previously decrypted with the public key of the certificate authority, and if the compared data match, determine that the electronic certificate is correct and send the electronic certificate It is determined that the received wireless communication terminal is the terminal of the person described in the issue destination described in the electronic certificate. In this embodiment, the electronic certificate for proving the identity of the wireless communication terminal is not actually issued by a trusted certificate authority (issuer) described in the electronic certificate, but in the wireless communication terminal. Is issued by the wireless communication terminal itself using the private key of the certificate authority in FIG. 4, but the conference organizer uses the communication terminal connected to the access point as described in S413 of FIG. After selecting attendees and registering only the selected terminal in the storage device in the access point, the electronic certificate issued by the previous wireless communication terminal itself is the electronic certificate issued by the regular certificate authority by the conference organizer. It can be considered equivalent to a certificate.
この結果、アクセスポイントと無線通信端末間の無線通信は、相互に電子証明書を用いて認証された後、WEPによる無線通信を行う。尚、このWEPは、アクセスポイントが定期的に変更することにより、“動的WEP”となる。また、上記説明において、アクセスポイントに接続した会議主催者が操作する通信端末は、アクセスポイントとは有線接続としたが、無線接続でも構わないし、通信端末の代わりに、アクセスポイント自体に表示装置と入力装置を設けることにより、会議主催者がアクセスポイントを制御する形を取っても構わない。 As a result, the wireless communication between the access point and the wireless communication terminal performs wireless communication using WEP after mutual authentication using the electronic certificate. This WEP becomes “dynamic WEP” when the access point changes periodically. In the above description, the communication terminal operated by the meeting organizer connected to the access point is connected to the access point by wired connection, but may be wirelessly connected, and instead of the communication terminal, the access point itself has a display device. By providing an input device, the meeting organizer may take the form of controlling the access point.
以上説明したように、アクセスポイントと無線通信端末が通信する無線区間において、無線通信端末が自身で発行した電子証明書を用いてアクセスポイント内の認証サーバ部との間で相互に認証を行うことにより、IEEE802.1x/EAPベースの動的WEPによる暗号化を行うことができる。 As described above, in the wireless section where the access point communicates with the wireless communication terminal, the wireless communication terminal performs mutual authentication with the authentication server unit in the access point using the electronic certificate issued by itself. Thus, encryption by IEEE802.1x / EAP-based dynamic WEP can be performed.
101 無線通信端末
102 無線通信部
103 電子証明書発行部
104 記憶装置部
105 制御部
106 アクセスポイント
107 無線通信部
108 認証サーバ部
109 認証クライアント部
110 記憶装置部
111 制御部
112 通信端末
113 表示部
114 入力部
115 制御部
116 有線LANネットワーク
DESCRIPTION OF
Claims (3)
自身の身元を証明するための電子証明書を発行する手段と、
前記発行手段によって発行された前記電子証明書を記憶する第一の格納手段と、
前記電子証明書を前記アクセスポイントに対して送信する第一の送信手段と、
前記アクセスポイントが発信するアクセスポイント自身の身元を証明する電子証明書及び暗号鍵を受信する第一の受信手段と、
前記アクセスポイントの身元を証明する電子証明書を検証する第一の検証手段と、
前記アクセスポイントが送信する暗号鍵を前記第一の受信手段にて受信し、
前記受信した暗号鍵を、無線通信データを暗号化する暗号鍵として設定する第一の設定手段とを有し、
前記アクセスポイントは、
自身の身元を証明するための電子証明書及び前記無線通信機器の電子証明書を記憶する第二の格納手段と、
前記第二の格納手段にて格納した電子証明書を前記無線通信機器に送信する第二の送信手段と、
前記無線通信機器の接続可否を決定する第一の接続決定手段と、
前記無線通信機器が前記第一の送信手段にて送信する無線通信機器の身元を証明するための電子証明書を受信する第二の受信手段と、
前記第二の格納手段にて格納した電子証明書を検証する第二の検証手段と、
前記第二の検証手段にて検証された結果に基づいて前記無線通信機器の接続可否を決定する第二の接続決定手段と、
前記暗号鍵を生成する生成手段と、
前記生成手段によって生成された暗号鍵を前記無線通信機器に前記第二の送信手段で定期的に送信する構成とを有し、
前記無線通信機器と前記アクセスポイントとの無線通信区間で前記暗号鍵を定期的に変更して無線通信データを暗号化することを特徴とする無線通信システム。 In a wireless communication system including a wireless communication device and an access point that performs wireless communication with the wireless communication device, the wireless communication device is:
A means of issuing an electronic certificate to prove one's identity;
First storage means for storing the electronic certificate issued by the issuing means;
First transmitting means for transmitting the electronic certificate to the access point;
First receiving means for receiving an electronic certificate and an encryption key proving the identity of the access point itself transmitted by the access point;
First verification means for verifying an electronic certificate proving the identity of the access point;
Receiving the encryption key transmitted by the access point by the first receiving means;
A first setting means for setting the received encryption key as an encryption key for encrypting wireless communication data;
The access point is
Second storage means for storing an electronic certificate for certifying its own identity and an electronic certificate of the wireless communication device;
Second transmission means for transmitting the electronic certificate stored in the second storage means to the wireless communication device;
First connection determining means for determining whether or not the wireless communication device can be connected;
Second receiving means for receiving an electronic certificate for proving the identity of the wireless communication device transmitted by the first communication means by the wireless communication device;
Second verification means for verifying the electronic certificate stored in the second storage means;
Second connection determination means for determining whether or not the wireless communication device can be connected based on the result verified by the second verification means;
Generating means for generating the encryption key;
The encryption key generated by the generation means is configured to periodically transmit to the wireless communication device by the second transmission means,
A wireless communication system, wherein wireless communication data is encrypted by periodically changing the encryption key in a wireless communication section between the wireless communication device and the access point.
前記アクセスポイントに接続された表示装置と入力装置を持つ通信端末を制御することによって前記アクセスポイントに接続にきた前期無線通信機器の選択をすることを特徴とする請求項1記載の無線通信システム。 The first connection determining means is
2. The wireless communication system according to claim 1, wherein a wireless communication device connected to the access point is selected by controlling a communication terminal having a display device and an input device connected to the access point.
前記第二の受信手段にて受信した前期無線通信機器の情報を前記第二の記憶手段にて記憶するとともに表示する表示手段と、
前記表示手段にて表示された情報を加工する加工手段とを加え、
前記加工手段にて加工された情報を前記第二の記憶手段に格納し、
該加工された情報を前記第一の接続決定手段で使用する前記無線通信機器の接続可否情報として用いることを特徴とする請求項1記載の無線通信システム。 To the access point,
Display means for storing and displaying information of the previous wireless communication device received by the second receiving means in the second storage means;
And processing means for processing the information displayed on the display means,
Storing the information processed by the processing means in the second storage means;
2. The wireless communication system according to claim 1, wherein the processed information is used as connection permission information of the wireless communication device used by the first connection determination unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004208483A JP2006033340A (en) | 2004-07-15 | 2004-07-15 | Wireless communication system and digital certificate issuing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004208483A JP2006033340A (en) | 2004-07-15 | 2004-07-15 | Wireless communication system and digital certificate issuing method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006033340A true JP2006033340A (en) | 2006-02-02 |
Family
ID=35899165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004208483A Withdrawn JP2006033340A (en) | 2004-07-15 | 2004-07-15 | Wireless communication system and digital certificate issuing method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006033340A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008160384A (en) * | 2006-12-22 | 2008-07-10 | Nec Infrontia Corp | Wireless lan terminal, electronic certificate updating method and program thereof, and wireless lan system |
| JP2008278390A (en) * | 2007-05-07 | 2008-11-13 | Kyocera Mita Corp | System and method for confidentiality communication |
| WO2009074108A1 (en) * | 2007-12-07 | 2009-06-18 | Huawei Technologies Co., Ltd. | Interworking 802.1 af devices with 802.1x authenticator |
| JP2013232192A (en) * | 2012-04-30 | 2013-11-14 | General Electric Co <Ge> | System and method for securing controllers |
| JP2017112503A (en) * | 2015-12-16 | 2017-06-22 | Kddi株式会社 | Communication system, terminal device, server, communication method and program |
| JP2017212506A (en) * | 2016-05-23 | 2017-11-30 | キヤノン株式会社 | Communication device, communication method, and program |
-
2004
- 2004-07-15 JP JP2004208483A patent/JP2006033340A/en not_active Withdrawn
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008160384A (en) * | 2006-12-22 | 2008-07-10 | Nec Infrontia Corp | Wireless lan terminal, electronic certificate updating method and program thereof, and wireless lan system |
| JP2008278390A (en) * | 2007-05-07 | 2008-11-13 | Kyocera Mita Corp | System and method for confidentiality communication |
| WO2009074108A1 (en) * | 2007-12-07 | 2009-06-18 | Huawei Technologies Co., Ltd. | Interworking 802.1 af devices with 802.1x authenticator |
| JP2013232192A (en) * | 2012-04-30 | 2013-11-14 | General Electric Co <Ge> | System and method for securing controllers |
| JP2017112503A (en) * | 2015-12-16 | 2017-06-22 | Kddi株式会社 | Communication system, terminal device, server, communication method and program |
| JP2017212506A (en) * | 2016-05-23 | 2017-11-30 | キヤノン株式会社 | Communication device, communication method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7386726B2 (en) | Personal certification authority device | |
| CN108259159B (en) | Method and system for pairing between a controller and an accessory | |
| ES2263474T3 (en) | METHOD AND APPARATUS FOR INITIALIZING SECURE COMMUNICATIONS BETWEEN WIRELESS DEVICES AND TO PAIR THEM EXCLUSIVELY. | |
| US6912657B2 (en) | Method and arrangement in a communication network | |
| US8345881B2 (en) | Communication system, information processing apparatus, method and computer program | |
| CN1918876B (en) | Device registration in a wireless multi-hop ad-hoc network | |
| JP5018315B2 (en) | Wireless communication system, wireless communication device, authentication method for wireless communication device, and program | |
| US20050129240A1 (en) | Method and apparatus for establishing a secure ad hoc command structure | |
| WO2005101727A1 (en) | Communication device, communication system, and authentication method | |
| JP2002026899A (en) | Verification system for ad hoc wireless communication | |
| JP2004072682A (en) | Radio connection method, radio connection system and access point apparatus | |
| US9148423B2 (en) | Personal identification number (PIN) generation between two devices in a network | |
| CN112202770B (en) | Device networking method and device, device and storage medium | |
| JP2005160005A (en) | Building method of encryption communication channel between terminals, device for it, and program | |
| JP4489601B2 (en) | Security information exchange method, recorder apparatus, and television receiver | |
| CN109891852B (en) | Apparatus and method for providing a user-configured trust domain | |
| US20090170511A1 (en) | Group network forming method and group network system | |
| JP2002271318A (en) | Radio communication equipment and certification managing server | |
| JP2006033340A (en) | Wireless communication system and digital certificate issuing method | |
| US20200015081A1 (en) | Method for secure transmission of cryptographic data | |
| WO2016147568A1 (en) | Communications device, partner communications device, and communications program | |
| JP2001111538A (en) | Communication system, method therefor, communication equipment and ic card | |
| CN110876142A (en) | Identification-based wifi authentication method | |
| JP2009278388A (en) | Communication terminal device, management device, communication method, management method, and computer program | |
| KR101760718B1 (en) | System and method for managing mobile device based on pairing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20071002 |