JP4574122B2 - 基地局、および、その制御方法 - Google Patents
基地局、および、その制御方法 Download PDFInfo
- Publication number
- JP4574122B2 JP4574122B2 JP2003094816A JP2003094816A JP4574122B2 JP 4574122 B2 JP4574122 B2 JP 4574122B2 JP 2003094816 A JP2003094816 A JP 2003094816A JP 2003094816 A JP2003094816 A JP 2003094816A JP 4574122 B2 JP4574122 B2 JP 4574122B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- base station
- communication device
- access point
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、IEEE802.11規格やBluetooth規格等の通信機能を有する通信端末とアクセスポイントを有するシステムにおいてセキュアなネットワークを構築できるようにするための技術に関する。
【0002】
【従来の技術】
従来より、IEEE802.11規格に準じた無線LANやBluetooth規格に準じた無線通信では、その通信媒体として電波を用いるため、セキュリティが重要な課題となっている。このような課題を解決するため、これらの規格では、通信先毎に暗号鍵を設けパケットを暗号化することで、たとえパケットをのぞき見られても、それを解読できないようにするといった防御手段が執られてきた。
【0003】
現在、最も一般的な無線通信暗号化手段は、IEEE802.11方式であればWEP(Wired Equivalent Privacy)キー(40bit,128bit)による暗号化であり、Bluetooth方式であれば、Pin(Personal Identification Number)コードから自動生成される128bitの暗号鍵による暗号化である。とはいえ、これらの暗号化方式にも、脆弱性があることが指摘されており、無線通信の安全性を更に高めるための暗号化方式として、IEEE802.11方式では、IEEE802.1xベースの認証を実施した上での動的WEPキー変換(EAP)やTKIP(Temporal Key Integrity Protocol),AES(Advanced Encryption Standard)といった更に高度な暗号化方式が、またBluetooth方式では、IEEE802.1xベースの上位アプリケーション層での認証・暗号化方式などが検討され、一部実施されている。
【0004】
この中でもIEEE802.1xをベースとしたEAP(Extensible Authentication Protocol)方式と呼ばれる認証・暗号化手段は、一部のOS(オペレーションシステム)環境において、IEEE802.11方式向けの認証・暗号化手段として標準的に実装されている。無線LAN(IEEE802.11)におけるEAP方式は、クライアントの端末がネットワーク接続要求を行う際、TCP/IP(Transmission Control Protocol/Internet Protocol)を利用してイントラネット内に設けられた認証サーバ(RADIUSサーバ等)とデータ通信を行い、認証サーバからクライアントへの証明書の要求またはチャレンジを実施する。クライアントは、証明書所有の証明を行うか、チャレンジに対しアカウント名とパスワードを返し、それらが認証サーバ内のデータと一致すれば、認証サーバは無線通信を暗号化するための128bitの暗号鍵または暗号鍵生成手段をアクセスポイントとクライアントに返す。この様なプロセスを経てクライアントが認証をパスすると、それ以降の無線通信は、128bitの暗号鍵をWEPキーとして、クライアントとアクセスポイントとの両者間で利用することで暗号化される。更に、上記プロセスは一定時間毎に定期的に実施され、暗号鍵の更新を行う。
【0005】
又、Bluetooth方式では、PAN(Personal Area Network)プロファイルにおいてセキュリティ向上のためにはIEEE802.1x認証・暗号化手段を用いることが推奨されている。Bluetooth方式の場合は、無線媒体である電波を暗号化するための鍵の生成は、Bluetooth方式で通信を行うデバイス間のPinコードによる相互認証によって自動的に生成されるため、認証サーバから受け取った暗号鍵情報を、無線LANで言うところのWEPキーの様な電波そのものの暗号化鍵としては利用できない。
しかし、無線媒体として電波を生成する前段階で、パケットを暗号化する際の鍵として利用することで、二重に暗号化し通信のセキュリティを向上させることができる。
【0006】
以上に述べてきたIEEE802.1x方式の認証・暗号化プロセスでは、認証を実施するための認証サーバがネットワーク内に存在し、同サーバでクライアントのアカウントを集中管理する。このため、IEEE802.1x方式を用いれば、クライアントがどこにいても、認証サーバとのTCP/IPによる通信が実施可能で有れば、同一のアカウント・パスワードを用いてイントラネット等のネットワークに接続する事ができる。
【0007】
【発明が解決しようとする課題】
上述したIEEE802.1x方式による認証・暗号化プロセスを用いることで、クライアントは無線通信を用いた安全なネットワーク接続を実現できる。ただし、そのためにはネットワーク内に認証サーバが設置され、かつ前記認証サーバには、予めクライアントのアカウントが登録されている必要がある。即ち、IEEE802.1x方式は、比較的規模の大きなイントラネット等での運用を想定した方式であり、無線によるネットワーク接続を行うクライアントも認証サーバ上にアカウントを持ったメンバに限定されるといった制限があった。
【0008】
このため、認証サーバにアカウントが登録されていない外来者が参加するミーティングを行う場合や、イントラネットへの接続手段がない社外の会議室等でのミーティングを行う場合は、IEEE802.1x方式による認証・暗号化プロセスを利用した無線通信による安全なネットワーク構築ができないという不具合があった。なお、この際に、認証・暗号化を無くした無線通信は実現可能であるが、セキュリティの面から大きな問題がある。
【0009】
又、手作業による無線通信用パラメータの設定を実施すれば、無線通信の暗号化は可能であるが、クライアントはイントラネット内で通常利用するIEEE802.1x方式のアカウント・パスワードの入力による自動接続とは、全く異なる接続手段を手動で行わなければならず、操作方法に統一性が無く、煩雑であり、利便性が損なわれる上、暗号鍵を定期的に変更してセキュリティを高める等の恩恵を受けることができない。
【0010】
本発明は、上記課題を解決すために、以下の少なくとも1つ達成することを目的とする。
1.ネットワーク接続のための正規認証手続きに対応したアカウントや証明書を事前に所有していないクライアント端末でも、管理者の許可により容易にネットワーク接続を可能とし、しかも、高度な暗号化を施すことができるようにする。
2.管理者がアクセスポイントを操作して接続可否判断を行う際に、クライアント端末を識別するための情報を分かり易い形式で表示し、管理者が接続可否を判定しやすくする。
3.クライアント端末に、認証手続きの種類に応じたアクセス可能範囲を別個に定めることで、セキュリティを高める。
4.正規認証手続きを行うために必要な条件が整っていないような環境下で本システムを用いる際に、実行不可能な正規認証手続き処理をバイパスすることで、クライアント端末が接続するまでの無駄な待ち時間を無くす。
5.正規認証に成功したクライアント端末に対しても、管理者の許可無く、アクセスポイントの基に構築されるLAN領域に対するアクセスを制限し、LAN領域のセキュリティを保つ。
【0011】
【課題を解決するための手段】
本発明は上記目的を達成するために、基地局を介して通信装置が接続する所定のネットワークと、前記基地局が構築する無線ネットワークとからなるシステムの基地局であって、前記所定のネットワークへ通信装置が接続するための第1の認証が認証サーバにより行われた後に、前記無線ネットワークへ前記通信装置が接続するための第2の認証を行う認証手段と、前記認証手段による前記第2の認証の結果に応じて、前記無線ネットワーク内の他の通信装置と前記通信装置との通信を許可する制御手段とを有する。
【0013】
また、基地局を介して通信装置が接続する所定のネットワークと、前記基地局が構築する無線ネットワークとからなるシステムの基地局の制御方法であって、前記所定のネットワークへ通信装置が接続するための第1の認証が認証サーバにより行われた後に、前記無線ネットワークへ前記通信装置が接続するための第2の認証を行う認証工程と、前記認証工程における前記第2の認証の結果に応じて、前記無線ネットワーク内の他の通信装置と前記通信装置との通信を許可する制御工程とを有する。
【0015】
【発明の実施の形態】
(第1の実施例)
図1は本発明の第1の実施例のシステム構成図であり、1はIEEE802.11規格やBluetooth規格等に準じた無線通信を行い、安全なネットワークを構築するアクセスポイント、2、3、4、5はアクセスポイント1と無線接続するPDAやノートPCなどのクライアント端末、6はアクセスポイント1と有線接続され、共有ファイルなどが保存されるローカルサーバ、7はアクセスポイント1の基に構築された無線クライアント端末2、3、4、5とローカルサーバ6から為るPersonal Area Network(PAN)、8はアクセスポイント1がアップリンクするイントラネット、9はイントラネット上に設けられ、共有ファイルなどが保存されるファイルサーバ、10はイントラネット上に設けられ、イントラネットに接続しようとするクライアント端末の接続可否認証を行う認証サーバである。
【0016】
なお、クライアント端末2、3、4、5とアクセスポイント1は、無線通信機能を内蔵していても良いし、CFカード型やPCカード型等のカード型無線通信アダプタをカードスロットに挿入することで無線通信機能を実現したり、無線通信アダプタをUSBなどのケーブル接続により無線通信機能を実現しても良い。
【0017】
以下、本実施例による接続処理の流れを、アクセスポイント1側とクライアント端末2、3、4、5側とに分けて表したフローチャートを図2に示す。
【0018】
図2のS120−S125に示す様に、クライアント端末2、3、4、5を利用するユーザは、クライアント端末2、3、4、5を操作することで、クライアント端末を起動(S120)した後、接続用アプリケーションを起動(S121)し、アクセスポイント1の捜索(S122)を行う。なお、アクセスポイントの探索は、無線LAN通信であれば、アクセスポイントが報知しているビーコンを受信することで通信圏内のアクセスポイントの存在を見つけることができ、Bluetooth通信であれば、問合せ(inquiry)手順や呼び出し(page)手順を行い通信圏内のアクセスポイントの存在を見つけることができる。
【0019】
この探索(S122)の結果、発見されたアクセスポイント1が1台のみの場合、発見したアクセスポイント1をユーザが接続を所望するアクセスポイントであるものと見なし、同アクセスポイント1に対して接続要求(S125)を行う。アクセスポイント1の捜索(S122)の結果、接続可能なアクセスポイント1が複数発見された場合には、ユーザはクライアント端末2、3、4、5を操作(S124)して、接続を所望するアクセスポイント1を選択する。この際の、選択作業に当たっては、クライアント端末2、3、4、5の表示装置上に発見したアクセスポイントの識別(ID)情報を表示し、ユーザはその中から所望のアクセスポイント1をマウスやタッチスクリーン等のポインティングデバイスを用いて選択する。アクセスポイント選択画面のユーザインターフェース表示例を図3に示す。
【0020】
なお、図3に示したようにアクセスポイント1を識別するためのID情報は、アクセスポイント1の設置場所やアクセスポイントを用いる作業の名称などが好ましく、これらの情報の設定は、クライアント端末2、3、4、5によるアクセスポイント捜索(S122)が為される以前に、アクセスポイント1へ設定しておく必要がある。即ち、アクセスポイント管理者は、クライアント端末2、3、4、5によるアクセスポイント捜索(S122)が為される以前に、アクセスポイント1を起動(S100)し、その際に表示されるアクセスポイント名情報を確認(S101)し、アクセスポイント1の名前情報を変更する場合は、パスワード入力(S103)の後、新たなアクセスポイント1の名前を設定(S104)する。ここでのパスワード入力(S103)はアクセスポイント管理者以外の者が不用意にアクセスポイント1の名前情報を変更してしまうのを避けるために設けた処理であり、必須の処理では無い事は述べるまでもない。設定されたアクセスポイント1の名前情報は、アクセスポイント1が無線LAN通信を行う場合は、ビーコン出力を行う際に、ビーコン情報のアクセスポイント名情報として送信(S105)する。また、Bluetooth通信を行う場合は、デバイスネームとしてクライアント端末からの要求に応答してアクセスポイント1から送信する(S105)。
【0021】
このため、クライアント端末2、3、4、5はアクセスポイントとのネットワーク接続が確立する以前にアクセスポイント1の名前情報を入手し、各端末2、3、4、5上の表示装置に表示することが可能となる。
【0022】
S124において接続を所望するアクセスポイント1を決定し、S125においてアクセスポイント1へ接続要求を行ったクライアント端末2、3、4、5は、同アクセスポイント1を経由してのイントラネット8上の認証サーバ10による正規認証手続き(S106)へ移行する。なお、本実施例では、イントラネットへ接続するために必要とされるイントラネット上の認証サーバ10による認証手続きを「正規認証手続き」、アクセスポイント以下に構築される小規模ネットワーク(Personal Area Network : PAN)7に接続するための一定の認証手続きを一時認証手続きと呼称している。ここで、以後の説明を容易にするため、クライアント端末2、3、4、5に対する正規認証手続きと一時認証手続きによる認証可否を表1のように仮定する。
【0023】
【表1】
【0024】
正規認証手続き(S106)を行ったクライアント端末2、3は、正規認証に成功する。正規認証に成功したクライアント端末2、3に関しては、IEEE802.1xベースの認証・暗号化手段であるEAPに従って、ネットワーク接続が完了し、定期的な暗号鍵の更新処理もEAPに従って実施される。
【0025】
正規認証手続き(S106)を実施し、正規認証に失敗したクライアント端末4、5は、アクセスポイント1から、PAN7内のみで有効な一時IPアドレスの配布(S108)を受ける。一時IPアドレスの配布によって、正規認証に失敗したクライアント端末4、5へのネットワークアクセスが可能となるが、この時、アクセスポイント1は、一時IPアドレスを配布(S108)したクライアント端末4、5によるアクセスポイント1を経由してのイントラネット8へのアクセスや、その他のクライアント端末2、3、4、5及びローカルサーバ6へのアクセスを、不正アクセス防止の観点から、禁止する。本禁止処理は、IPフィルタリングを用いることで容易に実施可能である。
【0026】
一時IPアドレスの配布(S108)により、クライアント端末4、5のネットワークアクセスが可能となるため、アクセスポイント1は、クライアント端末4、5へそれぞれのID情報を要求する。クライアント端末4、5は、クライアント端末のID情報をアクセスポイント1へ送信(S127)する。ここで、クライアント端末のID情報とは、本実施例における制御を行うためにクライアント端末へインストールされる接続用アプリケーションのインストール時等に、ユーザに対してクライアント端末を利用するユーザの名前や所属、役職等の情報入力要求を行い、その際に収集した情報である。
【0027】
アクセスポイント1は、入手したクライアント端末4、5のID情報を、アクセスポイント管理者に対して表示(S109)する。その際の表示例を図4に示す。アクセスポイント管理者は、表示されたID情報から接続要求を行っているクライアント端末4、5の接続可否を判断し、アクセスポイント1を操作して判断結果を設定(S110)する。本実施例では、このアクセスポイント管理者による判断(S110)が一時認証手続きとなる。
【0028】
表1の仮定に従い正規認証処理(S106)に失敗したクライアント端末4は、アクセスポイント管理者による一時認証に成功するため、アクセスポイント1以下に構築されたPAN7へのアクセスが許可され、その他のクライアント端末2、3やローカルサーバ6へのネットワークアクセスが可能となる。本処理は、クライアント端末に対してIPフィルタリングをPAN7内に対してのみ解除することで容易に実施できる。又、正規認証処理と同等な暗号鍵を定期的に更新する無線暗号化手段を実現するための処理A(S113)を実施する。処理A(S113)については、後で述べる。
【0029】
又、正規認証処理(S106)と一時認証処理(S110)の両方に失敗したクライアント端末5に対しては、アクセスポイント1は、一時IPアドレスによるネットワーク接続を切断し、更にアクセスポイント1においてMACアドレスフィルタリング等の手段を実施することによって、その後の無線によるリンクも禁止する(S112、S129)。
【0030】
図5に図2における処理A(S113)における処理のフローチャートを示す。前記の通り、処理Aを行うクライアント端末4は、正規認証に失敗し、一時認証に成功した端末である。アクセスポイント1は、クライアント端末4を一時認証すると、クライアント端末4に対して公開鍵を要求(S200)する。これを受けてクライアント端末4は、公開鍵と暗号鍵のペアを生成(S210)し、公開鍵をアクセスポイント1に対して送信(S211)する。なお、クライアント端末4は、公開鍵と秘密鍵のペアを、一時認証による無線ネットワーク接続を行う度に生成しても良いし、一度生成したペアを保存して継続的に利用しても良い。継続的に利用する場合は、公開鍵・秘密鍵の生成処理(S210)が不要であることは述べるまでもない。
【0031】
アクセスポイント1は、クライアント端末4から受信した公開鍵情報をクライアント端末4を識別するID情報と共に保存(S201)する。この後、アクセスポイント1は、クライアント端末4との無線通信時に使用する暗号鍵(WEP鍵など)を自動生成(S202)し、生成した無線通信用暗号鍵を、クライアント端末4から受け取り保管してある公開鍵を使用して暗号化(S203)する。
無線通信用暗号鍵の公開鍵による暗号化(S203)が完了したら、アクセスポイント1は、クライアント端末4に対して、暗号化済み無線通信用暗号鍵を受信する様に要求(S204)し、同暗号鍵を送信する(S205)。同要求を受けて、クライアント端末4は、暗号化済み無線通信用暗号鍵を受信する準備を実施し、同暗号鍵の受信(S212)を行う。クライアント端末4は、暗号化済み無線通信用暗号鍵を受信したらすぐさま復号化処理(S213)に入り、復号化が完了し、無線通信用暗号鍵の更新準備が完了したら、その旨をアクセスポイント1へ通知(S214)して、自身の無線通信回路に対し無線通信用暗号鍵の更新(S215)を実施する。
【0032】
アクセスポイント1は、暗号化済み無線通信用暗号鍵をクライアント端末4へ送信(S205)した後、クライアント端末4からの無線通信用暗号鍵更新準備完了の通知を待ち(S206)、同通知を受信したら、アクセスポイント1内のクライアント端末4と無線通信を実施している回路に対し無線通信用暗号鍵の更新(S207)を実施する。このような手順によって、アクセスポイント1内のクライアント端末4との無線通信回路とクライアント端末4の無線通信回路の暗号鍵を同時に更新することができ、以降、アクセスポイント1とクライアント端末4間では、更新した無線通信用暗号鍵によりデータを暗号化して通信を行う。
つまり、無線LANの場合は、無線通信用暗号鍵をWEPキーとして使用し、Bluetooth通信の場合は、無線通信用暗号鍵によりデータを暗号化し、さらに、PINコードによる暗号化通信を行うことになる。尚、公開鍵で暗号化された無線通信用暗号鍵は、公開鍵とペアになる秘密鍵を有するクライアント端末4にしか復号できないため、暗号化済みの無線通信用暗号鍵を第3者に不正に入手されても悪用することはできない。
【0033】
その後、無線通信用暗号鍵は、予め設定された一定時間が経過(S208−S209)する度に、アクセスポイント1側でS202からS207の処理を繰り返し、同時にクライアント端末4側でS212からS215の処理を繰り返すことで、定期的に更新される。
【0034】
なお、本実施例においては、アクセスポイント1での表示(S101、S109)と入力処理(S103、S104、S110)を行っているが、同処理は、アクセスポイント自体に設けられた表示装置や入力装置によって実現されても良いし、アクセスポイントに直接的に接続された管理者用端末に設けられた表示装置や入力装置、アクセスポイントと有線無線を問わずに接続されたクライアント端末2、3、4、5やローカルサーバ6経由で間接的に表示・入力されても良い。
【0035】
以上のように本実施例によれば、アカウントや証明書を事前に取得していないクライアント端末に対しても、アクセスポイント以下に構築されるPANへの接続を可能とし、かつ、それらのクライアント端末の無線接続を、正規認証されたクライアント端末と同等に暗号化することができる。
【0036】
また、管理者がアクセスポイントを操作して接続可否判断を行う際に、クライアント端末を識別するための情報を、アクセスポイントやアクセスポイントに接続された装置に分かり易い形式で表示でき、管理者が接続可否を判定しやすくすることができる。
【0037】
また、正規認証手続に成功したクライアント端末と、正規認証手続には失敗したが一時認証手続には成功したクライアント端末とにより、イントラネットとPANの両方へのアクセスを許可とするか、イントラネットへのアクセスを禁止するがPANへのアクセスを許可するか等、アクセス可能範囲を別個に設定でき、セキュリティを高めることができる。
【0038】
また、正規認証手続を行うために必要な条件が整っていないような環境下でも、正規認証手続き処理をバイパスして一時認証手続を行えば、少なくともPANへの接続は可能とすることができ、利用環境による影響を受けにくいシステムを構築することができる。
【0039】
この様な無線接続構築のニーズは、会議等でテンポラリに安全なネットワークを構築したい場合等に最適である。
【0040】
(第2の実施例)
第1の実施例では、ユーザを以下の3グループに分けて管理する場合を説明した。
1.正規認証手続きに成功し、イントラネット8とPAN7の両方にアクセス可能なユーザ
2.一時認証手続きのみに成功し、PAN7のみアクセス可能なユーザ
3.いずれの認証手続きにも失敗し、接続拒否されるユーザ
第2の実施例では、ユーザを表2に示す4タイプに分けて管理する場合を説明する。
【0041】
【表2】
【0042】
第2の実施例でも、図1と同様の構成を利用する。又、図2にて示したフローチャートの内、S100からS106で示されるアクセスポイント1側の処理とS120からS125で示されるクライアント端末2、3、4、5側の処理は、第2の実施例でも第1の実施例と全く同様に実施される。
【0043】
図6は、図2における正規認証手続き処理(S106)以降を、第2の実施例の手順に従って示したフローチャートである。本図に示す様に、正規認証手続き(S300)に成功したクライアント端末2、3は、アクセスポイント1によってイントラネットへのアクセスを許可(S303、S320)された後、一時IPアドレスを配布されたクライアント端末4、5と同様に、クライアント端末のID情報をアクセスポイント1へ送信(S321)する。同ID情報は、第1の実施例で述べたとおり、クライアント端末2、3、4、5で稼働する接続用アプリケーションのインストール時に収集されアプリケーション内に保存された情報であるため、正規認証手続き(S300)に成功したクライアント端末2、3からもID情報を収集することができる。又、第1の実施例と同様に正規認証手続き(S300)に失敗したクライアント端末4、5には、一時IPアドレスの配布が行われ(S302)、一時IPアドレスを用いたネットワークアクセスによってクライアント端末4、5のID情報がアクセスポイント1へ送信(S321)される。また、その際に、正規認証手続き(S300)に失敗したクライアント端末4、5のイントラネットへのアクセスは禁止(S304)される。
【0044】
アクセスポイント1は、受信したクライアント端末のID情報を表示する(S305)。この際、正規認証に成功したクライアント端末2、3のID情報についても、正規認証に失敗したクライアント端末4、5と同様に表示し、アクセスポイント管理者による一時認証可否判定(S306)に処理を委ねる。
【0045】
この時の画面表示例を図7に示す。図7に示す様に画面表示例では、各クライアント端末の正規認証ステータス(EAPと表記)を補助的に表示し、アクセスポイント管理者の判断材料を増やすことで確実な判断を補助する。アクセスポイント管理者は、図7に示す様な画面を見ながら、アクセスポイント1を操作し、PAN7に接続を許可するユーザを決定(S306)する。なお、本実施例では、アクセスポイント管理者は、表2に示したように一時認証手続きの判定結果を入力するものとする。
【0046】
アクセスポイント1は、アクセスポイント管理者による一時認証可否判定(S306)によって、PAN7への接続を許可されたクライアント端末2、4に対しては、PAN7へのアクセスを許可(S309)する。クライアント端末2、4は、正規認証に成功したユーザか否かによって暗号鍵更新手段が異なるため、その判定(S311)を行い、正規認証に成功したクライアント端末2に対しては、正規認証手続きによる暗号鍵の更新、つまり、IEEE802.1xベースの認証・暗号化手段であるEAPに従って、定期的な暗号鍵の更新処理が実施され、正規認証に失敗したクライアント端末4に対しては第1の実施例で述べた処理A(S313)による暗号鍵更新手段(図5)を用いて暗号鍵の更新を実施する。同様にアクセスポイント管理者による一時認証可否判定(S306)によって、PAN7接続を許可されたクライアント端末2、4側も正規認証に成功したか否かの判断(S324)を行い、正規認証に成功したクライアント端末2については正規認証手続きによる暗号鍵の更新が実施され、正規認証に成功していないクライアント端末4については、処理A(S325)による暗号鍵交信手段(図5)を用いて暗号鍵の更新を実施する。
【0047】
一方、アクセスポイント1は、アクセスポイント管理者による一時認証可否判定(S306)によって、PAN7への接続を禁止されたクライアント端末3、5に対しては、PAN7へのアクセスを禁止(S308)する。クライアント端末3、5は、正規認証に成功したユーザか否かによってイントラネット8へのアクセス可否が異なるため、その判定(S310)を行い、正規認証に成功したクライアント端末3に対しては、PAN7へのアクセスは禁止されるものの、イントラネット8への接続状態は継続し、正規認証手続きによる暗号鍵更新手段によって暗号鍵の更新が実施される。正規認証に失敗したクライアント端末5に対しては、第1の実施例と同様にアクセスポイント自体への接続が禁止(S312)され、MACアドレスフィルタリングなどの手段によってその後の無線によるリンクも禁止する。同様にアクセスポイント管理者による一時認証可否判定(S306)によって、PAN7接続を禁止されたクライアント端末3、5側も正規認証に成功したか否かの判断(S323)を行い、正規認証に成功したクライアント端末3については無線接続を継続し正規認証手続きによる暗号鍵の更新が実施され、正規認証に成功していないクライアント端末5については、無線接続の切断処理(S326)が実施される。
【0048】
又、図2の106、107、126及び図6の300、301、320で示した正規認証手続きは、本通信システムでは、常に実行されイントラネット8への接続が可能か否かの決定が行われるが、本システムをイントラネットが存在しない環境下や、イントラネット上に認証サーバが存在しない環境下で用いる場合には、無駄な処理となる。従って、アクセスポイントにスイッチを設け、同スイッチが正規認証手続きを回避する様に設定されている際は、上記の正規認証手続きを回避可能とすることで、正規認証手続きの試行に必要な無駄な処理時間を削減することができる。なお、ここで述べるアクセスポイント上のスイッチは、ハードウェアスイッチに限定されるものではなく、ソフトウェアスイッチでも適用可能である。
【0049】
以上のように本実施例によれば、アカウントや証明書を事前に取得していないクライアント端末に対しても、アクセスポイント以下に構築されるPANへの接続を可能とし、かつ、それらのクライアント端末の無線接続をセキュアな環境で実現することができる。
【0050】
また、正規認証手続きに成功したクライアント端末でもPANへの接続を禁止することができるので、使用目的に応じてシステムを構築することができ、例えば、社員全員は正規認証には成功するように認証サーバに登録しておくことで、社内であればどの部屋からでもイントラネットには接続できるようにし、特定の社員だれで実施し、他の社員には秘密の内容の会議を行う場合には、一時認証手続きにより会議メンバー以外はPANへの接続を禁止でき、しかも、会議のメンバーを変更しても簡単にメンバー変更に対応することができる。
【0051】
また、第1実施例と同様に、管理者がアクセスポイントを操作して接続可否判断を行う際に、クライアント端末を識別するための情報を、アクセスポイントやアクセスポイントに接続された装置に分かり易い形式で表示でき、管理者が接続可否を判定しやすくすることができる。
【0052】
また、正規認証手続きを行うために必要な条件が整っていないような環境下では、実行不可能な正規認証手続き処理をバイパスするように設定できるので、クライアント端末が接続するまでの無駄な待ち時間を無くすことができる。
【0053】
【発明の効果】
以上説明したように、本発明によれば、基地局を介して通信装置が接続する所定のネットワークに通信装置が接続するための認証サーバによる第1の認証の後に行われる、基地局が構築する無線ネットワークに通信装置が接続するための第2の認証の結果に基づいて、通信装置は第2のネットワーク内の他の通信装置と通信できる。
【図面の簡単な説明】
【図1】本発明の実施形態におけるシステム構成図である。
【図2】第1の実施例における接続処理の流れを表すフローチャートである。
【図3】第1、第2の実施例におけるクライアント端末のアクセスポイント選択画面例である。
【図4】第1の実施例におけるアクセスポイント管理者による一時認証判定画面の表示例である。
【図5】第1、第2の実施例における一時認証したクライアント端末との無線通信に用いる暗号鍵を、定期的に更新する処理のフローチャートである。
【図6】第2の実施例における接続処理の流れを表すフローチャートである。
【図7】第2の実施例におけるアクセスポイント管理者による一時認証判定画面の表示例である。
【符号の説明】
1 アクセスポイント
2 アクセスポイントによってPANに接続されるPersonal Data Assistants(PDA)
3 アクセスポイントによってPANに接続されるPersonal Data Assistants(PDA)
4 アクセスポイントによってPANに接続されるノートPC
5 アクセスポイントによってPANに接続されるノートPC
6 アクセスポイント経由でPANに接続されているローカルサーバ
7 アクセスポイントの管理下に構築されるPersonal Area Network(PAN)
8 アクセスポイントよりアップリンクされるイントラネット
9 イントラネット上に設けられファイル共有などに用いられるファイルサーバ
10 イントラネット上に設けられ正規認証手続きに用いられる認証サーバ
【発明の属する技術分野】
本発明は、IEEE802.11規格やBluetooth規格等の通信機能を有する通信端末とアクセスポイントを有するシステムにおいてセキュアなネットワークを構築できるようにするための技術に関する。
【0002】
【従来の技術】
従来より、IEEE802.11規格に準じた無線LANやBluetooth規格に準じた無線通信では、その通信媒体として電波を用いるため、セキュリティが重要な課題となっている。このような課題を解決するため、これらの規格では、通信先毎に暗号鍵を設けパケットを暗号化することで、たとえパケットをのぞき見られても、それを解読できないようにするといった防御手段が執られてきた。
【0003】
現在、最も一般的な無線通信暗号化手段は、IEEE802.11方式であればWEP(Wired Equivalent Privacy)キー(40bit,128bit)による暗号化であり、Bluetooth方式であれば、Pin(Personal Identification Number)コードから自動生成される128bitの暗号鍵による暗号化である。とはいえ、これらの暗号化方式にも、脆弱性があることが指摘されており、無線通信の安全性を更に高めるための暗号化方式として、IEEE802.11方式では、IEEE802.1xベースの認証を実施した上での動的WEPキー変換(EAP)やTKIP(Temporal Key Integrity Protocol),AES(Advanced Encryption Standard)といった更に高度な暗号化方式が、またBluetooth方式では、IEEE802.1xベースの上位アプリケーション層での認証・暗号化方式などが検討され、一部実施されている。
【0004】
この中でもIEEE802.1xをベースとしたEAP(Extensible Authentication Protocol)方式と呼ばれる認証・暗号化手段は、一部のOS(オペレーションシステム)環境において、IEEE802.11方式向けの認証・暗号化手段として標準的に実装されている。無線LAN(IEEE802.11)におけるEAP方式は、クライアントの端末がネットワーク接続要求を行う際、TCP/IP(Transmission Control Protocol/Internet Protocol)を利用してイントラネット内に設けられた認証サーバ(RADIUSサーバ等)とデータ通信を行い、認証サーバからクライアントへの証明書の要求またはチャレンジを実施する。クライアントは、証明書所有の証明を行うか、チャレンジに対しアカウント名とパスワードを返し、それらが認証サーバ内のデータと一致すれば、認証サーバは無線通信を暗号化するための128bitの暗号鍵または暗号鍵生成手段をアクセスポイントとクライアントに返す。この様なプロセスを経てクライアントが認証をパスすると、それ以降の無線通信は、128bitの暗号鍵をWEPキーとして、クライアントとアクセスポイントとの両者間で利用することで暗号化される。更に、上記プロセスは一定時間毎に定期的に実施され、暗号鍵の更新を行う。
【0005】
又、Bluetooth方式では、PAN(Personal Area Network)プロファイルにおいてセキュリティ向上のためにはIEEE802.1x認証・暗号化手段を用いることが推奨されている。Bluetooth方式の場合は、無線媒体である電波を暗号化するための鍵の生成は、Bluetooth方式で通信を行うデバイス間のPinコードによる相互認証によって自動的に生成されるため、認証サーバから受け取った暗号鍵情報を、無線LANで言うところのWEPキーの様な電波そのものの暗号化鍵としては利用できない。
しかし、無線媒体として電波を生成する前段階で、パケットを暗号化する際の鍵として利用することで、二重に暗号化し通信のセキュリティを向上させることができる。
【0006】
以上に述べてきたIEEE802.1x方式の認証・暗号化プロセスでは、認証を実施するための認証サーバがネットワーク内に存在し、同サーバでクライアントのアカウントを集中管理する。このため、IEEE802.1x方式を用いれば、クライアントがどこにいても、認証サーバとのTCP/IPによる通信が実施可能で有れば、同一のアカウント・パスワードを用いてイントラネット等のネットワークに接続する事ができる。
【0007】
【発明が解決しようとする課題】
上述したIEEE802.1x方式による認証・暗号化プロセスを用いることで、クライアントは無線通信を用いた安全なネットワーク接続を実現できる。ただし、そのためにはネットワーク内に認証サーバが設置され、かつ前記認証サーバには、予めクライアントのアカウントが登録されている必要がある。即ち、IEEE802.1x方式は、比較的規模の大きなイントラネット等での運用を想定した方式であり、無線によるネットワーク接続を行うクライアントも認証サーバ上にアカウントを持ったメンバに限定されるといった制限があった。
【0008】
このため、認証サーバにアカウントが登録されていない外来者が参加するミーティングを行う場合や、イントラネットへの接続手段がない社外の会議室等でのミーティングを行う場合は、IEEE802.1x方式による認証・暗号化プロセスを利用した無線通信による安全なネットワーク構築ができないという不具合があった。なお、この際に、認証・暗号化を無くした無線通信は実現可能であるが、セキュリティの面から大きな問題がある。
【0009】
又、手作業による無線通信用パラメータの設定を実施すれば、無線通信の暗号化は可能であるが、クライアントはイントラネット内で通常利用するIEEE802.1x方式のアカウント・パスワードの入力による自動接続とは、全く異なる接続手段を手動で行わなければならず、操作方法に統一性が無く、煩雑であり、利便性が損なわれる上、暗号鍵を定期的に変更してセキュリティを高める等の恩恵を受けることができない。
【0010】
本発明は、上記課題を解決すために、以下の少なくとも1つ達成することを目的とする。
1.ネットワーク接続のための正規認証手続きに対応したアカウントや証明書を事前に所有していないクライアント端末でも、管理者の許可により容易にネットワーク接続を可能とし、しかも、高度な暗号化を施すことができるようにする。
2.管理者がアクセスポイントを操作して接続可否判断を行う際に、クライアント端末を識別するための情報を分かり易い形式で表示し、管理者が接続可否を判定しやすくする。
3.クライアント端末に、認証手続きの種類に応じたアクセス可能範囲を別個に定めることで、セキュリティを高める。
4.正規認証手続きを行うために必要な条件が整っていないような環境下で本システムを用いる際に、実行不可能な正規認証手続き処理をバイパスすることで、クライアント端末が接続するまでの無駄な待ち時間を無くす。
5.正規認証に成功したクライアント端末に対しても、管理者の許可無く、アクセスポイントの基に構築されるLAN領域に対するアクセスを制限し、LAN領域のセキュリティを保つ。
【0011】
【課題を解決するための手段】
本発明は上記目的を達成するために、基地局を介して通信装置が接続する所定のネットワークと、前記基地局が構築する無線ネットワークとからなるシステムの基地局であって、前記所定のネットワークへ通信装置が接続するための第1の認証が認証サーバにより行われた後に、前記無線ネットワークへ前記通信装置が接続するための第2の認証を行う認証手段と、前記認証手段による前記第2の認証の結果に応じて、前記無線ネットワーク内の他の通信装置と前記通信装置との通信を許可する制御手段とを有する。
【0013】
また、基地局を介して通信装置が接続する所定のネットワークと、前記基地局が構築する無線ネットワークとからなるシステムの基地局の制御方法であって、前記所定のネットワークへ通信装置が接続するための第1の認証が認証サーバにより行われた後に、前記無線ネットワークへ前記通信装置が接続するための第2の認証を行う認証工程と、前記認証工程における前記第2の認証の結果に応じて、前記無線ネットワーク内の他の通信装置と前記通信装置との通信を許可する制御工程とを有する。
【0015】
【発明の実施の形態】
(第1の実施例)
図1は本発明の第1の実施例のシステム構成図であり、1はIEEE802.11規格やBluetooth規格等に準じた無線通信を行い、安全なネットワークを構築するアクセスポイント、2、3、4、5はアクセスポイント1と無線接続するPDAやノートPCなどのクライアント端末、6はアクセスポイント1と有線接続され、共有ファイルなどが保存されるローカルサーバ、7はアクセスポイント1の基に構築された無線クライアント端末2、3、4、5とローカルサーバ6から為るPersonal Area Network(PAN)、8はアクセスポイント1がアップリンクするイントラネット、9はイントラネット上に設けられ、共有ファイルなどが保存されるファイルサーバ、10はイントラネット上に設けられ、イントラネットに接続しようとするクライアント端末の接続可否認証を行う認証サーバである。
【0016】
なお、クライアント端末2、3、4、5とアクセスポイント1は、無線通信機能を内蔵していても良いし、CFカード型やPCカード型等のカード型無線通信アダプタをカードスロットに挿入することで無線通信機能を実現したり、無線通信アダプタをUSBなどのケーブル接続により無線通信機能を実現しても良い。
【0017】
以下、本実施例による接続処理の流れを、アクセスポイント1側とクライアント端末2、3、4、5側とに分けて表したフローチャートを図2に示す。
【0018】
図2のS120−S125に示す様に、クライアント端末2、3、4、5を利用するユーザは、クライアント端末2、3、4、5を操作することで、クライアント端末を起動(S120)した後、接続用アプリケーションを起動(S121)し、アクセスポイント1の捜索(S122)を行う。なお、アクセスポイントの探索は、無線LAN通信であれば、アクセスポイントが報知しているビーコンを受信することで通信圏内のアクセスポイントの存在を見つけることができ、Bluetooth通信であれば、問合せ(inquiry)手順や呼び出し(page)手順を行い通信圏内のアクセスポイントの存在を見つけることができる。
【0019】
この探索(S122)の結果、発見されたアクセスポイント1が1台のみの場合、発見したアクセスポイント1をユーザが接続を所望するアクセスポイントであるものと見なし、同アクセスポイント1に対して接続要求(S125)を行う。アクセスポイント1の捜索(S122)の結果、接続可能なアクセスポイント1が複数発見された場合には、ユーザはクライアント端末2、3、4、5を操作(S124)して、接続を所望するアクセスポイント1を選択する。この際の、選択作業に当たっては、クライアント端末2、3、4、5の表示装置上に発見したアクセスポイントの識別(ID)情報を表示し、ユーザはその中から所望のアクセスポイント1をマウスやタッチスクリーン等のポインティングデバイスを用いて選択する。アクセスポイント選択画面のユーザインターフェース表示例を図3に示す。
【0020】
なお、図3に示したようにアクセスポイント1を識別するためのID情報は、アクセスポイント1の設置場所やアクセスポイントを用いる作業の名称などが好ましく、これらの情報の設定は、クライアント端末2、3、4、5によるアクセスポイント捜索(S122)が為される以前に、アクセスポイント1へ設定しておく必要がある。即ち、アクセスポイント管理者は、クライアント端末2、3、4、5によるアクセスポイント捜索(S122)が為される以前に、アクセスポイント1を起動(S100)し、その際に表示されるアクセスポイント名情報を確認(S101)し、アクセスポイント1の名前情報を変更する場合は、パスワード入力(S103)の後、新たなアクセスポイント1の名前を設定(S104)する。ここでのパスワード入力(S103)はアクセスポイント管理者以外の者が不用意にアクセスポイント1の名前情報を変更してしまうのを避けるために設けた処理であり、必須の処理では無い事は述べるまでもない。設定されたアクセスポイント1の名前情報は、アクセスポイント1が無線LAN通信を行う場合は、ビーコン出力を行う際に、ビーコン情報のアクセスポイント名情報として送信(S105)する。また、Bluetooth通信を行う場合は、デバイスネームとしてクライアント端末からの要求に応答してアクセスポイント1から送信する(S105)。
【0021】
このため、クライアント端末2、3、4、5はアクセスポイントとのネットワーク接続が確立する以前にアクセスポイント1の名前情報を入手し、各端末2、3、4、5上の表示装置に表示することが可能となる。
【0022】
S124において接続を所望するアクセスポイント1を決定し、S125においてアクセスポイント1へ接続要求を行ったクライアント端末2、3、4、5は、同アクセスポイント1を経由してのイントラネット8上の認証サーバ10による正規認証手続き(S106)へ移行する。なお、本実施例では、イントラネットへ接続するために必要とされるイントラネット上の認証サーバ10による認証手続きを「正規認証手続き」、アクセスポイント以下に構築される小規模ネットワーク(Personal Area Network : PAN)7に接続するための一定の認証手続きを一時認証手続きと呼称している。ここで、以後の説明を容易にするため、クライアント端末2、3、4、5に対する正規認証手続きと一時認証手続きによる認証可否を表1のように仮定する。
【0023】
【表1】
正規認証手続き(S106)を行ったクライアント端末2、3は、正規認証に成功する。正規認証に成功したクライアント端末2、3に関しては、IEEE802.1xベースの認証・暗号化手段であるEAPに従って、ネットワーク接続が完了し、定期的な暗号鍵の更新処理もEAPに従って実施される。
【0025】
正規認証手続き(S106)を実施し、正規認証に失敗したクライアント端末4、5は、アクセスポイント1から、PAN7内のみで有効な一時IPアドレスの配布(S108)を受ける。一時IPアドレスの配布によって、正規認証に失敗したクライアント端末4、5へのネットワークアクセスが可能となるが、この時、アクセスポイント1は、一時IPアドレスを配布(S108)したクライアント端末4、5によるアクセスポイント1を経由してのイントラネット8へのアクセスや、その他のクライアント端末2、3、4、5及びローカルサーバ6へのアクセスを、不正アクセス防止の観点から、禁止する。本禁止処理は、IPフィルタリングを用いることで容易に実施可能である。
【0026】
一時IPアドレスの配布(S108)により、クライアント端末4、5のネットワークアクセスが可能となるため、アクセスポイント1は、クライアント端末4、5へそれぞれのID情報を要求する。クライアント端末4、5は、クライアント端末のID情報をアクセスポイント1へ送信(S127)する。ここで、クライアント端末のID情報とは、本実施例における制御を行うためにクライアント端末へインストールされる接続用アプリケーションのインストール時等に、ユーザに対してクライアント端末を利用するユーザの名前や所属、役職等の情報入力要求を行い、その際に収集した情報である。
【0027】
アクセスポイント1は、入手したクライアント端末4、5のID情報を、アクセスポイント管理者に対して表示(S109)する。その際の表示例を図4に示す。アクセスポイント管理者は、表示されたID情報から接続要求を行っているクライアント端末4、5の接続可否を判断し、アクセスポイント1を操作して判断結果を設定(S110)する。本実施例では、このアクセスポイント管理者による判断(S110)が一時認証手続きとなる。
【0028】
表1の仮定に従い正規認証処理(S106)に失敗したクライアント端末4は、アクセスポイント管理者による一時認証に成功するため、アクセスポイント1以下に構築されたPAN7へのアクセスが許可され、その他のクライアント端末2、3やローカルサーバ6へのネットワークアクセスが可能となる。本処理は、クライアント端末に対してIPフィルタリングをPAN7内に対してのみ解除することで容易に実施できる。又、正規認証処理と同等な暗号鍵を定期的に更新する無線暗号化手段を実現するための処理A(S113)を実施する。処理A(S113)については、後で述べる。
【0029】
又、正規認証処理(S106)と一時認証処理(S110)の両方に失敗したクライアント端末5に対しては、アクセスポイント1は、一時IPアドレスによるネットワーク接続を切断し、更にアクセスポイント1においてMACアドレスフィルタリング等の手段を実施することによって、その後の無線によるリンクも禁止する(S112、S129)。
【0030】
図5に図2における処理A(S113)における処理のフローチャートを示す。前記の通り、処理Aを行うクライアント端末4は、正規認証に失敗し、一時認証に成功した端末である。アクセスポイント1は、クライアント端末4を一時認証すると、クライアント端末4に対して公開鍵を要求(S200)する。これを受けてクライアント端末4は、公開鍵と暗号鍵のペアを生成(S210)し、公開鍵をアクセスポイント1に対して送信(S211)する。なお、クライアント端末4は、公開鍵と秘密鍵のペアを、一時認証による無線ネットワーク接続を行う度に生成しても良いし、一度生成したペアを保存して継続的に利用しても良い。継続的に利用する場合は、公開鍵・秘密鍵の生成処理(S210)が不要であることは述べるまでもない。
【0031】
アクセスポイント1は、クライアント端末4から受信した公開鍵情報をクライアント端末4を識別するID情報と共に保存(S201)する。この後、アクセスポイント1は、クライアント端末4との無線通信時に使用する暗号鍵(WEP鍵など)を自動生成(S202)し、生成した無線通信用暗号鍵を、クライアント端末4から受け取り保管してある公開鍵を使用して暗号化(S203)する。
無線通信用暗号鍵の公開鍵による暗号化(S203)が完了したら、アクセスポイント1は、クライアント端末4に対して、暗号化済み無線通信用暗号鍵を受信する様に要求(S204)し、同暗号鍵を送信する(S205)。同要求を受けて、クライアント端末4は、暗号化済み無線通信用暗号鍵を受信する準備を実施し、同暗号鍵の受信(S212)を行う。クライアント端末4は、暗号化済み無線通信用暗号鍵を受信したらすぐさま復号化処理(S213)に入り、復号化が完了し、無線通信用暗号鍵の更新準備が完了したら、その旨をアクセスポイント1へ通知(S214)して、自身の無線通信回路に対し無線通信用暗号鍵の更新(S215)を実施する。
【0032】
アクセスポイント1は、暗号化済み無線通信用暗号鍵をクライアント端末4へ送信(S205)した後、クライアント端末4からの無線通信用暗号鍵更新準備完了の通知を待ち(S206)、同通知を受信したら、アクセスポイント1内のクライアント端末4と無線通信を実施している回路に対し無線通信用暗号鍵の更新(S207)を実施する。このような手順によって、アクセスポイント1内のクライアント端末4との無線通信回路とクライアント端末4の無線通信回路の暗号鍵を同時に更新することができ、以降、アクセスポイント1とクライアント端末4間では、更新した無線通信用暗号鍵によりデータを暗号化して通信を行う。
つまり、無線LANの場合は、無線通信用暗号鍵をWEPキーとして使用し、Bluetooth通信の場合は、無線通信用暗号鍵によりデータを暗号化し、さらに、PINコードによる暗号化通信を行うことになる。尚、公開鍵で暗号化された無線通信用暗号鍵は、公開鍵とペアになる秘密鍵を有するクライアント端末4にしか復号できないため、暗号化済みの無線通信用暗号鍵を第3者に不正に入手されても悪用することはできない。
【0033】
その後、無線通信用暗号鍵は、予め設定された一定時間が経過(S208−S209)する度に、アクセスポイント1側でS202からS207の処理を繰り返し、同時にクライアント端末4側でS212からS215の処理を繰り返すことで、定期的に更新される。
【0034】
なお、本実施例においては、アクセスポイント1での表示(S101、S109)と入力処理(S103、S104、S110)を行っているが、同処理は、アクセスポイント自体に設けられた表示装置や入力装置によって実現されても良いし、アクセスポイントに直接的に接続された管理者用端末に設けられた表示装置や入力装置、アクセスポイントと有線無線を問わずに接続されたクライアント端末2、3、4、5やローカルサーバ6経由で間接的に表示・入力されても良い。
【0035】
以上のように本実施例によれば、アカウントや証明書を事前に取得していないクライアント端末に対しても、アクセスポイント以下に構築されるPANへの接続を可能とし、かつ、それらのクライアント端末の無線接続を、正規認証されたクライアント端末と同等に暗号化することができる。
【0036】
また、管理者がアクセスポイントを操作して接続可否判断を行う際に、クライアント端末を識別するための情報を、アクセスポイントやアクセスポイントに接続された装置に分かり易い形式で表示でき、管理者が接続可否を判定しやすくすることができる。
【0037】
また、正規認証手続に成功したクライアント端末と、正規認証手続には失敗したが一時認証手続には成功したクライアント端末とにより、イントラネットとPANの両方へのアクセスを許可とするか、イントラネットへのアクセスを禁止するがPANへのアクセスを許可するか等、アクセス可能範囲を別個に設定でき、セキュリティを高めることができる。
【0038】
また、正規認証手続を行うために必要な条件が整っていないような環境下でも、正規認証手続き処理をバイパスして一時認証手続を行えば、少なくともPANへの接続は可能とすることができ、利用環境による影響を受けにくいシステムを構築することができる。
【0039】
この様な無線接続構築のニーズは、会議等でテンポラリに安全なネットワークを構築したい場合等に最適である。
【0040】
(第2の実施例)
第1の実施例では、ユーザを以下の3グループに分けて管理する場合を説明した。
1.正規認証手続きに成功し、イントラネット8とPAN7の両方にアクセス可能なユーザ
2.一時認証手続きのみに成功し、PAN7のみアクセス可能なユーザ
3.いずれの認証手続きにも失敗し、接続拒否されるユーザ
第2の実施例では、ユーザを表2に示す4タイプに分けて管理する場合を説明する。
【0041】
【表2】
第2の実施例でも、図1と同様の構成を利用する。又、図2にて示したフローチャートの内、S100からS106で示されるアクセスポイント1側の処理とS120からS125で示されるクライアント端末2、3、4、5側の処理は、第2の実施例でも第1の実施例と全く同様に実施される。
【0043】
図6は、図2における正規認証手続き処理(S106)以降を、第2の実施例の手順に従って示したフローチャートである。本図に示す様に、正規認証手続き(S300)に成功したクライアント端末2、3は、アクセスポイント1によってイントラネットへのアクセスを許可(S303、S320)された後、一時IPアドレスを配布されたクライアント端末4、5と同様に、クライアント端末のID情報をアクセスポイント1へ送信(S321)する。同ID情報は、第1の実施例で述べたとおり、クライアント端末2、3、4、5で稼働する接続用アプリケーションのインストール時に収集されアプリケーション内に保存された情報であるため、正規認証手続き(S300)に成功したクライアント端末2、3からもID情報を収集することができる。又、第1の実施例と同様に正規認証手続き(S300)に失敗したクライアント端末4、5には、一時IPアドレスの配布が行われ(S302)、一時IPアドレスを用いたネットワークアクセスによってクライアント端末4、5のID情報がアクセスポイント1へ送信(S321)される。また、その際に、正規認証手続き(S300)に失敗したクライアント端末4、5のイントラネットへのアクセスは禁止(S304)される。
【0044】
アクセスポイント1は、受信したクライアント端末のID情報を表示する(S305)。この際、正規認証に成功したクライアント端末2、3のID情報についても、正規認証に失敗したクライアント端末4、5と同様に表示し、アクセスポイント管理者による一時認証可否判定(S306)に処理を委ねる。
【0045】
この時の画面表示例を図7に示す。図7に示す様に画面表示例では、各クライアント端末の正規認証ステータス(EAPと表記)を補助的に表示し、アクセスポイント管理者の判断材料を増やすことで確実な判断を補助する。アクセスポイント管理者は、図7に示す様な画面を見ながら、アクセスポイント1を操作し、PAN7に接続を許可するユーザを決定(S306)する。なお、本実施例では、アクセスポイント管理者は、表2に示したように一時認証手続きの判定結果を入力するものとする。
【0046】
アクセスポイント1は、アクセスポイント管理者による一時認証可否判定(S306)によって、PAN7への接続を許可されたクライアント端末2、4に対しては、PAN7へのアクセスを許可(S309)する。クライアント端末2、4は、正規認証に成功したユーザか否かによって暗号鍵更新手段が異なるため、その判定(S311)を行い、正規認証に成功したクライアント端末2に対しては、正規認証手続きによる暗号鍵の更新、つまり、IEEE802.1xベースの認証・暗号化手段であるEAPに従って、定期的な暗号鍵の更新処理が実施され、正規認証に失敗したクライアント端末4に対しては第1の実施例で述べた処理A(S313)による暗号鍵更新手段(図5)を用いて暗号鍵の更新を実施する。同様にアクセスポイント管理者による一時認証可否判定(S306)によって、PAN7接続を許可されたクライアント端末2、4側も正規認証に成功したか否かの判断(S324)を行い、正規認証に成功したクライアント端末2については正規認証手続きによる暗号鍵の更新が実施され、正規認証に成功していないクライアント端末4については、処理A(S325)による暗号鍵交信手段(図5)を用いて暗号鍵の更新を実施する。
【0047】
一方、アクセスポイント1は、アクセスポイント管理者による一時認証可否判定(S306)によって、PAN7への接続を禁止されたクライアント端末3、5に対しては、PAN7へのアクセスを禁止(S308)する。クライアント端末3、5は、正規認証に成功したユーザか否かによってイントラネット8へのアクセス可否が異なるため、その判定(S310)を行い、正規認証に成功したクライアント端末3に対しては、PAN7へのアクセスは禁止されるものの、イントラネット8への接続状態は継続し、正規認証手続きによる暗号鍵更新手段によって暗号鍵の更新が実施される。正規認証に失敗したクライアント端末5に対しては、第1の実施例と同様にアクセスポイント自体への接続が禁止(S312)され、MACアドレスフィルタリングなどの手段によってその後の無線によるリンクも禁止する。同様にアクセスポイント管理者による一時認証可否判定(S306)によって、PAN7接続を禁止されたクライアント端末3、5側も正規認証に成功したか否かの判断(S323)を行い、正規認証に成功したクライアント端末3については無線接続を継続し正規認証手続きによる暗号鍵の更新が実施され、正規認証に成功していないクライアント端末5については、無線接続の切断処理(S326)が実施される。
【0048】
又、図2の106、107、126及び図6の300、301、320で示した正規認証手続きは、本通信システムでは、常に実行されイントラネット8への接続が可能か否かの決定が行われるが、本システムをイントラネットが存在しない環境下や、イントラネット上に認証サーバが存在しない環境下で用いる場合には、無駄な処理となる。従って、アクセスポイントにスイッチを設け、同スイッチが正規認証手続きを回避する様に設定されている際は、上記の正規認証手続きを回避可能とすることで、正規認証手続きの試行に必要な無駄な処理時間を削減することができる。なお、ここで述べるアクセスポイント上のスイッチは、ハードウェアスイッチに限定されるものではなく、ソフトウェアスイッチでも適用可能である。
【0049】
以上のように本実施例によれば、アカウントや証明書を事前に取得していないクライアント端末に対しても、アクセスポイント以下に構築されるPANへの接続を可能とし、かつ、それらのクライアント端末の無線接続をセキュアな環境で実現することができる。
【0050】
また、正規認証手続きに成功したクライアント端末でもPANへの接続を禁止することができるので、使用目的に応じてシステムを構築することができ、例えば、社員全員は正規認証には成功するように認証サーバに登録しておくことで、社内であればどの部屋からでもイントラネットには接続できるようにし、特定の社員だれで実施し、他の社員には秘密の内容の会議を行う場合には、一時認証手続きにより会議メンバー以外はPANへの接続を禁止でき、しかも、会議のメンバーを変更しても簡単にメンバー変更に対応することができる。
【0051】
また、第1実施例と同様に、管理者がアクセスポイントを操作して接続可否判断を行う際に、クライアント端末を識別するための情報を、アクセスポイントやアクセスポイントに接続された装置に分かり易い形式で表示でき、管理者が接続可否を判定しやすくすることができる。
【0052】
また、正規認証手続きを行うために必要な条件が整っていないような環境下では、実行不可能な正規認証手続き処理をバイパスするように設定できるので、クライアント端末が接続するまでの無駄な待ち時間を無くすことができる。
【0053】
【発明の効果】
以上説明したように、本発明によれば、基地局を介して通信装置が接続する所定のネットワークに通信装置が接続するための認証サーバによる第1の認証の後に行われる、基地局が構築する無線ネットワークに通信装置が接続するための第2の認証の結果に基づいて、通信装置は第2のネットワーク内の他の通信装置と通信できる。
【図面の簡単な説明】
【図1】本発明の実施形態におけるシステム構成図である。
【図2】第1の実施例における接続処理の流れを表すフローチャートである。
【図3】第1、第2の実施例におけるクライアント端末のアクセスポイント選択画面例である。
【図4】第1の実施例におけるアクセスポイント管理者による一時認証判定画面の表示例である。
【図5】第1、第2の実施例における一時認証したクライアント端末との無線通信に用いる暗号鍵を、定期的に更新する処理のフローチャートである。
【図6】第2の実施例における接続処理の流れを表すフローチャートである。
【図7】第2の実施例におけるアクセスポイント管理者による一時認証判定画面の表示例である。
【符号の説明】
1 アクセスポイント
2 アクセスポイントによってPANに接続されるPersonal Data Assistants(PDA)
3 アクセスポイントによってPANに接続されるPersonal Data Assistants(PDA)
4 アクセスポイントによってPANに接続されるノートPC
5 アクセスポイントによってPANに接続されるノートPC
6 アクセスポイント経由でPANに接続されているローカルサーバ
7 アクセスポイントの管理下に構築されるPersonal Area Network(PAN)
8 アクセスポイントよりアップリンクされるイントラネット
9 イントラネット上に設けられファイル共有などに用いられるファイルサーバ
10 イントラネット上に設けられ正規認証手続きに用いられる認証サーバ
Claims (14)
- 基地局を介して通信装置が接続する所定のネットワークと、前記基地局が構築する無線ネットワークとからなるシステムの基地局であって、
前記所定のネットワークへ通信装置が接続するための第1の認証が認証サーバにより行われた後に、前記無線ネットワークへ前記通信装置が接続するための第2の認証を行う認証手段と、
前記認証手段による前記第2の認証の結果に応じて、前記無線ネットワーク内の他の通信装置と前記通信装置との通信を許可する制御手段と、
を有することを特徴とする基地局。 - 前記制御手段は、前記第1の認証の結果と、前記第2の認証の結果とに応じて、さらに前記所定のネットワーク内の他の通信装置と前記通信装置のとの通信を許可することを特徴とする請求項1に記載の基地局。
- 前記制御手段は、前記第2の認証に失敗した場合であっても、前記第1の認証に成功している場合には、前記所定のネットワークへの前記通信装置の接続を許可することを特徴とする請求項1または2に記載の基地局。
- 前記認証手段は、前記第1の認証が失敗した場合に、前記第2の認証を行うことを特徴とする請求項1に記載の基地局。
- 前記第1の認証が失敗した場合、前記無線ネットワーク内で用いることのできるアドレスを前記通信装置に送信することを特徴とする請求項1乃至4のいずれか1項に記載の基地局。
- 前記認証手段による認証の結果に応じて、前記通信装置から第1の暗号鍵を受信する受信手段と、
前記通信装置との通信で用いる第2の暗号鍵を、前記受信手段により受信した前記第1の暗号鍵に基づいて暗号化して前記通信装置に通知する通知手段をさらに有することを特徴とする請求項1乃至5のいずれか1項に記載の基地局。 - 前記第2の暗号鍵を定期的に更新する更新手段をさらに有し、
前記通知手段は、更新手段により更新された前記第2の暗号鍵を前記通信装置に通知することを特徴とする請求項6に記載の基地局。 - 前記認証サーバによる前記第1の認証の結果を表示する表示手段をさらに有することを特徴とする請求項1乃至7のいずれか1項に記載の基地局。
- 前記認証手段は、ユーザの操作に基づいて前記通信装置を認証することを特徴とする請求項1乃至8のいずれか1項に記載の基地局。
- 前記認証サーバによる前記第1の認証の結果を表示する表示手段をさらに有することを特徴とする請求項1乃至9のいずれか1項に記載の基地局。
- 前記認証サーバによる前記第1の認証に成功した前記通信装置は、前記無線ネットワークへの接続も許可されることを特徴とする請求項4乃至10のいずれか1項に記載の基地局。
- 前記認証サーバによる前記第1の認証を行うか否かを設定する設定手段をさらに有することを特徴とする請求項1乃至11のいずれか1項に記載の基地局。
- 基地局を介して通信装置が接続する所定のネットワークと、前記基地局が構築する無線ネットワークとからなるシステムの基地局の制御方法であって、
前記所定のネットワークへ通信装置が接続するための第1の認証が認証サーバにより行われた後に、前記無線ネットワークへ前記通信装置が接続するための第2の認証を行う認証工程と、
前記認証工程における前記第2の認証の結果に応じて、前記無線ネットワーク内の他の通信装置と前記通信装置との通信を許可する制御工程と、
を有することを特徴とする制御方法。 - 基地局と接続する通信装置の制御方法であって、
前記基地局による前記通信装置に対する認証結果に応じて、第1の暗号鍵を生成する生成工程と、
前記生成工程において生成された前記第1の暗号鍵を前記基地局に通知する通知工程と、
前記第1の暗号鍵で暗号化された第2の暗号鍵を前記基地局から受信する受信工程と、
前記第2の暗号鍵に基づいて、前記基地局と通信する通信工程と、
を有することを特徴とする制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003094816A JP4574122B2 (ja) | 2003-03-31 | 2003-03-31 | 基地局、および、その制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003094816A JP4574122B2 (ja) | 2003-03-31 | 2003-03-31 | 基地局、および、その制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004302846A JP2004302846A (ja) | 2004-10-28 |
| JP4574122B2 true JP4574122B2 (ja) | 2010-11-04 |
Family
ID=33407301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003094816A Expired - Fee Related JP4574122B2 (ja) | 2003-03-31 | 2003-03-31 | 基地局、および、その制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4574122B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210250760A1 (en) * | 2018-12-27 | 2021-08-12 | Panasonic Intellectual Property Corporation Of America | Terminal, communication method, and recording medium |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100745999B1 (ko) * | 2004-12-17 | 2007-08-06 | 삼성전자주식회사 | 블루투스 핀에 따라 결정된 서비스를 제공하는 블루투스장치 및 방법 |
| JP4900645B2 (ja) | 2005-08-01 | 2012-03-21 | ソニー株式会社 | 受信装置、受信方法、送信装置、送信方法、プログラム、記録媒体、通信システム、および通信方法 |
| JP4907944B2 (ja) * | 2005-10-05 | 2012-04-04 | パナソニック株式会社 | 暗号化データ送信装置 |
| JP4299846B2 (ja) | 2006-07-28 | 2009-07-22 | Necインフロンティア株式会社 | クライアント・サーバ型分散システム、クライアント装置、サーバ装置及びそれらに用いるメッセージ暗号方法 |
| JP5151374B2 (ja) * | 2007-10-02 | 2013-02-27 | 富士ゼロックス株式会社 | 情報処理システム及びプログラム |
| JP5269844B2 (ja) * | 2010-07-28 | 2013-08-21 | 株式会社バッファロー | 暗号鍵共有方法、無線端末、及びアクセスポイント |
| JP2012073893A (ja) * | 2010-09-29 | 2012-04-12 | Nifty Corp | 認証サーバ、認証システム、認証方法及び認証プログラム |
| JP2018056662A (ja) * | 2016-09-26 | 2018-04-05 | 東芝ライテック株式会社 | 機器端末及び制御システム |
| US10771243B1 (en) * | 2020-04-29 | 2020-09-08 | Ecosteer Srl | Multicast encryption scheme for data-ownership platform |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001345819A (ja) * | 2000-06-01 | 2001-12-14 | Sharp Corp | アクセスポイント装置及びその認証処理方法 |
| JP2002118562A (ja) * | 2000-10-05 | 2002-04-19 | Nec Corp | 認証拒否端末に対し特定条件でアクセスを許容するlan |
-
2003
- 2003-03-31 JP JP2003094816A patent/JP4574122B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001345819A (ja) * | 2000-06-01 | 2001-12-14 | Sharp Corp | アクセスポイント装置及びその認証処理方法 |
| JP2002118562A (ja) * | 2000-10-05 | 2002-04-19 | Nec Corp | 認証拒否端末に対し特定条件でアクセスを許容するlan |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210250760A1 (en) * | 2018-12-27 | 2021-08-12 | Panasonic Intellectual Property Corporation Of America | Terminal, communication method, and recording medium |
| US11665534B2 (en) * | 2018-12-27 | 2023-05-30 | Panasonic Intellectual Property Corporation Of America | Communication method between a terminal and an access point |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004302846A (ja) | 2004-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1685694B (zh) | 支持多个虚拟操作员的公共无线局域网的会话密钥管理 | |
| JP3961462B2 (ja) | コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム | |
| US9131378B2 (en) | Dynamic authentication in secured wireless networks | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| JP4218934B2 (ja) | ネットワーク構築方法、無線通信システムおよびアクセスポイント装置 | |
| JP5313200B2 (ja) | 通信システムにおけるキー発生方法及び装置 | |
| JP3518599B2 (ja) | 無線lanシステム、アクセス制御方法およびプログラム | |
| JP2002359623A (ja) | 無線通信設定方法、通信端末、アクセスポイント端末、記録媒体およびプログラム | |
| CN102739643A (zh) | 许可访问网络 | |
| EP2846586A1 (en) | A method of accessing a network securely from a personal device, a personal device, a network server and an access point | |
| EP1445893A2 (en) | Management of wireless local area network | |
| JP4574122B2 (ja) | 基地局、および、その制御方法 | |
| JP3905803B2 (ja) | 無線通信における認証システム、認証方法及び端末装置 | |
| JP2016053967A (ja) | 中継機、無線通信システムおよび無線通信方法 | |
| CN101635922B (zh) | 无线网状网络安全通信方法 | |
| JP2005286783A (ja) | 無線lan接続方法および無線lanクライアントソフトウェア | |
| JP2020521385A (ja) | ネットワーク通信におけるおよびネットワーク通信に関する改善 | |
| JP2008097264A (ja) | 無線lan端末を認証する認証システム、認証方法、認証サーバ、無線lan端末、及びプログラム | |
| JP5141096B2 (ja) | 取得したネットワークの接続情報を利用したファイルの自動暗号化装置、その方法及びそのプログラム | |
| CN101454767B (zh) | 安全无线网络中的动态认证 | |
| JP2004128886A (ja) | 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム | |
| JP2011188005A (ja) | 携帯電子装置および携帯電子装置の動作制御方法 | |
| JP2020167651A (ja) | 通信端末 | |
| KR20230020120A (ko) | 무선랜 보안채널 구성방법 | |
| WO2023191916A1 (en) | Wpa3 cloud-based network access and provisioning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060324 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090915 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091112 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100525 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20100630 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100713 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100817 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100818 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4574122 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |