JP6318640B2 - Wireless connection apparatus, method for controlling wireless connection apparatus, and network system - Google Patents

Wireless connection apparatus, method for controlling wireless connection apparatus, and network system Download PDF

Info

Publication number
JP6318640B2
JP6318640B2 JP2014009308A JP2014009308A JP6318640B2 JP 6318640 B2 JP6318640 B2 JP 6318640B2 JP 2014009308 A JP2014009308 A JP 2014009308A JP 2014009308 A JP2014009308 A JP 2014009308A JP 6318640 B2 JP6318640 B2 JP 6318640B2
Authority
JP
Japan
Prior art keywords
wireless
connection device
wireless connection
storage medium
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014009308A
Other languages
Japanese (ja)
Other versions
JP2015139090A (en
JP2015139090A5 (en
Inventor
裕宣 稲子
裕宣 稲子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2014009308A priority Critical patent/JP6318640B2/en
Publication of JP2015139090A publication Critical patent/JP2015139090A/en
Publication of JP2015139090A5 publication Critical patent/JP2015139090A5/ja
Application granted granted Critical
Publication of JP6318640B2 publication Critical patent/JP6318640B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、無線接続装置に関する。   The present invention relates to a wireless connection device.

アクセスポイント等の無線接続装置において、通常のネットワークから隔離された無線ネットワーク(以降、「来客者向け無線ネットワーク」と呼ぶ。)への接続は、従来、SSID(Service Set Identifier)とパスワードとを入力すれば誰でも可能であった。しかし、従来の方法では、パスワードが漏えいした場合における不正アクセス等、セキュリティ面の不安があるという問題があった。この点、無線接続装置において、来客者向け無線ネットワーク用のSSIDを無効にすれば、上記のような不正アクセスを回避することができる。しかし、来客者向け無線ネットワーク用のSSIDを無効にするためには、無線接続装置の管理画面上から操作を行う必要があるため、煩雑な手間を要するという問題があった。   In a wireless connection device such as an access point, connection to a wireless network isolated from a normal network (hereinafter referred to as a “customer wireless network”) has conventionally been made by inputting an SSID (Service Set Identifier) and a password. Anyone could do that. However, the conventional method has a problem of security concerns such as unauthorized access when a password is leaked. In this regard, if the SSID for the visitor's wireless network is invalidated in the wireless connection device, the unauthorized access as described above can be avoided. However, in order to invalidate the SSID for the visitor's wireless network, it is necessary to perform an operation from the management screen of the wireless connection device, and thus there is a problem that it takes a complicated work.

特許文献1には、WAN(Wide Area Network)側ネットワークから、セキュリティ設定が行われたLAN(Local Area Network)側ネットワークへの接続のためのゲートウェイ機器などの設定を簡略化するために、LAN側ネットワークに接続する際に用いる情報を可搬型の記憶装置に記憶させることが記載されている。特許文献2には、セキュリティトークンに格納されたデバイス情報を用いた認証によって、クライアントが接続可能なVLAN(Virtual Local Area Network)を特定する技術が記載されている。特許文献3には、利用者端末から送信される利用権情報に含まれる証明情報と認証情報とに基づいて、利用権の正当性を2回判定することが記載されている。   In Patent Document 1, in order to simplify the setting of a gateway device and the like for connection from a WAN (Wide Area Network) side network to a LAN (Local Area Network) side network in which security settings have been performed, It describes that information used when connecting to a network is stored in a portable storage device. Patent Document 2 describes a technique for specifying a VLAN (Virtual Local Area Network) to which a client can connect by authentication using device information stored in a security token. Patent Document 3 describes that the validity of a usage right is determined twice based on certification information and authentication information included in the usage right information transmitted from the user terminal.

WO2010/073405号公報WO2010 / 073405 特開2002−366522号公報JP 2002-366522 A 特開2006−350512号公報JP 2006-350512 A 特開2007−043644号公報JP 2007-043644 A 特開2006−074802号公報JP 2006-074742 A

特許文献1〜3では、いずれも、LAN側に存在する無線接続装置のセキュリティを向上させることについては考慮されていない。   In Patent Documents 1 to 3, no consideration is given to improving the security of the wireless connection device existing on the LAN side.

このため、無線接続装置において、来客者向け無線ネットワーク(具体的には来客者向け無線ネットワーク用のSSID)への不正アクセスのリスクを低減することで来客者向け無線ネットワークにおけるセキュリティを向上させ、かつ、来客者向け無線ネットワークを簡便に利用可能とすることが望まれていた。   Therefore, in the wireless connection device, the security in the wireless network for visitors is improved by reducing the risk of unauthorized access to the wireless network for visitors (specifically, the SSID for the wireless network for visitors), and Therefore, it has been desired that a wireless network for visitors can be easily used.

本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
本発明の第1の形態は、無線接続装置であって、
NFCインタフェースによって、NFCに基づき情報を読み出し可能なICチップを搭載した記憶媒体の前記無線接続装置への近接を検出する検出部と、
前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、無線端末の接続を可能とする限定接続部と、
を備え
前記複数のネットワークは、それぞれ異なるSSIDを用いた無線ネットワークである
本発明の第2の形態は、ネットワークシステムであって、
無線接続装置と、
NFCに基づき情報を読み出し可能なICチップを搭載し、前記情報として認証情報が予め記憶されている記憶媒体を備える無線端末と、
を備え、
前記無線接続装置は、
NFCインタフェースによって、前記無線接続装置に対する前記記憶媒体の近接を検出する検出部と、
前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、前記無線端末の接続を可能とする限定接続部と、
を備え
前記複数のネットワークは、それぞれ異なるSSIDを用いた無線ネットワークである
また、本発明は以下の形態としても実現可能である。 SUMMARY An advantage of some aspects of the invention is to solve at least a part of the problems described above, and the invention can be implemented as the following forms or application examples.
A first aspect of the present invention is a wireless connection device,
A detection unit for detecting the proximity of the storage medium mounted with an IC chip capable of reading information based on NFC to the wireless connection device by an NFC interface;
A limitation that allows a wireless terminal to connect to a visitor wireless network that is a wireless network isolated from other networks among a plurality of networks provided by the wireless connection device while detecting the proximity. A connection,
Equipped with a,
The plurality of networks are wireless networks using different SSIDs .
A second aspect of the present invention is a network system,
A wireless connection device;
A wireless terminal equipped with an IC chip capable of reading information based on NFC, and provided with a storage medium in which authentication information is stored in advance as the information;
With
The wireless connection device is:
A detection unit for detecting proximity of the storage medium to the wireless connection device by an NFC interface;
While detecting the proximity, the wireless terminal can be connected to a wireless network for a visitor that is a wireless network isolated from other networks among a plurality of networks provided by the wireless connection device. A limited connection,
Equipped with a,
The plurality of networks are wireless networks using different SSIDs .
The present invention can also be realized as the following forms.

(1)本発明の一形態によれば、無線接続装置が提供される。この無線接続装置は;近距離無線通信によって、前記無線接続装置に対する記憶媒体の近接を検出する検出部と;前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、無線端末の接続を可能とする限定接続部と、を備える。この形態の無線接続装置によれば、限定接続部は、無線接続装置と認証情報が記憶された記憶媒体とが近接している間に限り、無線端末による来客者向け無線ネットワークへの接続を可能とする。このように、来客者向け無線ネットワークの接続に対して、記憶媒体が必要であるという制限を設ければ、来客者向け無線ネットワーク用のSSID等が漏えいしたとしても、悪意のある第三者は、来客者向け無線ネットワークへ接続することができない。さらに、正当な利用者が記憶媒体を紛失した、または、記憶媒体が悪意のある第三者によって偽造された、等の場合であっても、「無線接続装置と記憶媒体の近接」という物理的な距離の制限のために、記憶媒体を入手した第三者は、遠隔では来客者向け無線ネットワークへ接続することができない。この結果、無線接続装置において、来客者向け無線ネットワークへの不正アクセスのリスクを低減することで来客者向け無線ネットワークにおけるセキュリティを向上させることができる。また、来客者向け無線ネットワークを利用するためには、利用者は、記憶媒体と無線接続装置とを近接させればよいため、無線接続装置において、来客者向け無線ネットワークを簡便に利用可能とすることができる。 (1) According to an aspect of the present invention, a wireless connection device is provided. The wireless connection device includes: a detection unit that detects proximity of a storage medium to the wireless connection device by short-range wireless communication; and a plurality of networks provided by the wireless connection device while detecting the proximity. And a limited connection unit that enables a wireless terminal to connect to a wireless network for visitors, which is a wireless network that is isolated from other networks. According to the wireless connection device of this aspect, the limited connection unit can connect to the wireless network for the visitor by the wireless terminal only while the wireless connection device and the storage medium storing the authentication information are close to each other. And In this way, if a restriction is imposed that a storage medium is required for the connection of the wireless network for visitors, even if the SSID for the wireless network for visitors leaks, , Can not connect to the wireless network for visitors. Furthermore, even if a legitimate user has lost the storage medium, or the storage medium has been forged by a malicious third party, the physical proximity of the wireless connection device and the storage medium Due to the limited distance, a third party who obtains the storage medium cannot connect to the wireless network for the visitor remotely. As a result, in the wireless connection device, it is possible to improve security in the visitor wireless network by reducing the risk of unauthorized access to the visitor wireless network. Further, in order to use the wireless network for visitors, the user only needs to bring the storage medium and the wireless connection device close to each other, so that the wireless network for visitors can be easily used in the wireless connection device. be able to.

(2)上記形態の無線接続装置では、さらに;前記近距離無線通信によって、前記記憶媒体から認証情報を取得する取得部を備え;前記検出部は、前記取得部による前記認証情報の取得が可能な場合に、前記無線接続装置と前記記憶媒体とが近接していると判定してもよい。この形態の無線接続装置によれば、検出部は、取得部による認証情報の取得が可能な場合に、無線接続装置と無線端末とが近接していると判定する。このため、「無線接続装置と記憶媒体の近接」という物理的な距離の制限を、採用される近距離無線通信の方式による情報の読み書き範囲の広さに応じて、数センチ〜1メートル前後の間で任意に調整することができる。 (2) The wireless connection device of the above aspect further includes: an acquisition unit that acquires authentication information from the storage medium by the short-range wireless communication; the detection unit can acquire the authentication information by the acquisition unit In this case, it may be determined that the wireless connection device and the storage medium are close to each other. According to the wireless connection device of this aspect, the detection unit determines that the wireless connection device and the wireless terminal are close to each other when the authentication information can be acquired by the acquisition unit. For this reason, the physical distance limitation of “proximity between the wireless connection device and the storage medium” is limited to several centimeters to 1 meter, depending on the range of information read / write by the short-range wireless communication method employed. Can be arbitrarily adjusted between.

(3)上記形態の無線接続装置において;前記限定接続部は、さらに、前記来客者向け無線ネットワークへ接続している前記無線端末から、前記他のネットワークへの通信を制限することで、前記無線端末による通信先をインターネットに限定してもよい。この形態の無線接続装置によれば、限定接続部は、来客者向け無線ネットワークへ接続している無線端末からの他のネットワークへの通信を制限する。すなわち、来客者向け無線ネットワークを、無線接続装置に接続されている他の無線端末で構成される他のネットワーク(例えばLAN等)から分離させることができる。このため、来客者向け無線ネットワークへ接続している無線端末から他のネットワークに対する不正アクセスを抑制することができ、無線接続装置におけるセキュリティをより向上させることができる。 (3) In the wireless connection device of the above aspect, the limited connection unit further restricts communication from the wireless terminal connected to the visitor-facing wireless network to the other network, so that the wireless The communication destination by the terminal may be limited to the Internet. According to the wireless connection device of this aspect, the limited connection unit restricts communication from the wireless terminal connected to the visitor's wireless network to another network. In other words, the visitor's wireless network can be separated from other networks (for example, LANs) composed of other wireless terminals connected to the wireless connection device. For this reason, the unauthorized access to the other network from the wireless terminal connected to the wireless network for visitors can be suppressed, and the security in the wireless connection device can be further improved.

(4)上記形態の無線接続装置において;前記限定接続部は、さらに、前記無線接続装置とインターネットとの間にネットワーク装置がある場合に、前記ネットワーク装置に対して、前記無線接続装置を介した前記来客者向け無線ネットワークへの接続を許可させてもよい。この形態の無線接続装置によれば、限定接続部は、さらに、無線接続装置とインターネットとの間にネットワーク装置がある場合に、当該ネットワーク装置に対して、無線接続装置を介した来客者向け無線ネットワークへの接続を許可させる。このため、無線接続装置とインターネットとの間にネットワーク装置がある場合であっても、来客者向け無線ネットワークへ接続している無線端末からインターネットへの通信を実現することができる。 (4) In the wireless connection device according to the above aspect, the limited connection unit further includes a network device between the wireless connection device and the Internet via the wireless connection device. Connection to the visitor's wireless network may be permitted. According to the wireless connection device of this aspect, the limited connection unit further includes, when there is a network device between the wireless connection device and the Internet, a wireless for a visitor via the wireless connection device with respect to the network device. Allow connection to the network. Therefore, even when there is a network device between the wireless connection device and the Internet, communication from the wireless terminal connected to the visitor's wireless network to the Internet can be realized.

(5)上記形態の無線接続装置では、さらに;取得した前記認証情報を用いて、前記記憶媒体の正当性を認証する認証部を備えてもよい。この形態の無線接続装置によれば、認証部は、記憶媒体に記憶されている認証情報を用いて、記憶媒体の正当性を認証することができる。このため、記憶媒体が悪意のある第三者によって偽造された等、記憶媒体の正当性が確認できなかった場合に、当該記憶媒体を用いた接続を禁止するといった措置を採用することが可能となる。この結果、無線接続装置におけるセキュリティをより向上させることができる。 (5) The wireless connection device of the above aspect may further include an authentication unit that authenticates the validity of the storage medium using the acquired authentication information. According to the wireless connection device of this aspect, the authentication unit can authenticate the validity of the storage medium using the authentication information stored in the storage medium. For this reason, it is possible to adopt measures such as prohibiting connection using the storage medium when the validity of the storage medium cannot be confirmed, for example, the storage medium has been forged by a malicious third party. Become. As a result, security in the wireless connection device can be further improved.

(6)上記形態の無線接続装置では、さらに;取得した前記認証情報を外部装置へ送信し、前記記憶媒体の正当性の認証結果を前記外部装置から取得する認証部を備えてもよい。この形態の無線接続装置によれば、認証部は、認証情報を外部装置へ送信し、記憶媒体の正当性の認証結果を外部装置から取得することで、記憶媒体の正当性を認証する。このため、記憶媒体が悪意のある第三者によって偽造された等、記憶媒体の正当性が確認できなかった場合に、当該記憶媒体を用いた接続を禁止するといった措置を採用することも可能となる。この結果、無線接続装置におけるセキュリティをより向上させることができる。 (6) The wireless connection device of the above aspect may further include an authentication unit that transmits the acquired authentication information to an external device, and acquires the authentication result of the validity of the storage medium from the external device. According to the wireless connection device of this aspect, the authentication unit authenticates the validity of the storage medium by transmitting the authentication information to the external device and acquiring the authentication result of the validity of the storage medium from the external device. For this reason, it is also possible to adopt measures such as prohibiting connection using the storage medium when the validity of the storage medium cannot be confirmed, such as when the storage medium has been forged by a malicious third party. Become. As a result, security in the wireless connection device can be further improved.

(7)上記形態の無線接続装置において;前記認証部は、さらに、一時的に有効な一時鍵を生成し、前記生成した一時鍵を近距離無線通信によって前記記憶媒体に記憶させてもよい。この形態の無線接続装置によれば、認証部は、一時的に有効な一時鍵を生成し、生成した一時鍵を近距離無線通信によって記憶媒体に記憶させることができる。 (7) In the wireless connection device of the above aspect; the authentication unit may further generate a temporary key that is temporarily valid, and store the generated temporary key in the storage medium by short-range wireless communication. According to the wireless connection device of this aspect, the authentication unit can generate a temporary key that is temporarily valid, and store the generated temporary key in the storage medium by short-range wireless communication.

(8)上記形態の無線接続装置において;前記取得部は、前記記憶媒体に記憶されている前記一時鍵を取得し;前記認証部は、前記認証情報に代えて、または、前記認証情報と共に、前記一時鍵を用いて前記記憶媒体の正当性を認証してもよい。この形態の無線接続装置によれば、認証部は、認証情報に代えて、または、認証情報と共に、一時鍵を用いて記憶媒体の正当性を認証する。一時的にしか有効でない一時鍵は、継続的に記憶媒体に記憶されている認証情報と比較して、セキュリティ強度が高い。このような一時鍵を用いて記憶媒体の正当性を認証することで、認証の信頼性をより向上させることができる。この結果、無線接続装置におけるセキュリティをより向上させることができる。 (8) In the wireless connection device of the above aspect; the acquisition unit acquires the temporary key stored in the storage medium; the authentication unit replaces the authentication information or together with the authentication information; The validity of the storage medium may be authenticated using the temporary key. According to the wireless connection device of this aspect, the authentication unit authenticates the validity of the storage medium using the temporary key instead of the authentication information or together with the authentication information. A temporary key that is only temporarily valid has higher security strength than authentication information continuously stored in a storage medium. By authenticating the validity of the storage medium using such a temporary key, the reliability of authentication can be further improved. As a result, security in the wireless connection device can be further improved.

(9)上記形態の無線接続装置では、さらに;前記ネットワーク装置に対して、仮想プライベートネットワークを用いた通信路の確立を要求する仮想化要求部を備えてもよい。この形態の無線接続装置によれば、仮想化要求部は、無線接続装置とインターネットとの間にネットワーク装置がある場合に、当該ネットワーク装置に対して、仮想プライベートネットワークを用いた通信路の確立を要求する。仮想プライベートネットワークを用いた通信路では、インターネットを経由した通信内容のカプセル化や暗号化が行われる。このため、来客者向け無線ネットワークへ接続している無線端末と、無線端末の通信相手装置と、の間の通信におけるセキュリティを向上させることができる。 (9) The wireless connection device of the above aspect may further include: a virtualization request unit that requests the network device to establish a communication path using a virtual private network. According to the wireless connection device of this aspect, the virtualization request unit establishes a communication path using a virtual private network for the network device when there is a network device between the wireless connection device and the Internet. Request. In a communication path using a virtual private network, communication contents via the Internet are encapsulated and encrypted. For this reason, the security in communication between the wireless terminal connected to the wireless network for visitors and the communication counterpart device of the wireless terminal can be improved.

(10)本発明の一形態によれば、ネットワークシステムが提供される。このネットワークシステムは;無線接続装置と;認証情報が予め記憶されている記憶媒体を備える無線端末と、を備え;前記無線接続装置は;近距離無線通信によって、前記無線接続装置に対する前記記憶媒体の近接を検出する検出部と;前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、前記無線端末の接続を可能とする限定接続部と、を備える。 (10) According to one aspect of the present invention, a network system is provided. The network system includes: a wireless connection device; a wireless terminal including a storage medium in which authentication information is stored in advance; the wireless connection device; the storage medium for the wireless connection device by short-range wireless communication A detection unit that detects proximity; and a wireless network for a visitor that is a wireless network isolated from other networks among a plurality of networks provided by the wireless connection device while detecting the proximity, And a limited connection unit that enables connection of a wireless terminal.

上述した本発明の各形態の有する複数の構成要素は全てが必須のものではなく、上述の課題の一部または全部を解決するため、あるいは、本明細書に記載された効果の一部または全部を達成するために、適宜、前記複数の構成要素の一部の構成要素について、その変更、削除、新たな構成要素との差し替え、限定内容の一部削除を行うことが可能である。また、上述の課題の一部または全部を解決するため、あるいは、本明細書に記載された効果の一部または全部を達成するために、上述した本発明の一形態に含まれる技術的特徴の一部または全部を上述した本発明の他の形態に含まれる技術的特徴の一部または全部と組み合わせて、本発明の独立した一形態とすることも可能である。   A plurality of constituent elements of each embodiment of the present invention described above are not essential, and some or all of the effects described in the present specification are to be solved to solve part or all of the above-described problems. In order to achieve the above, it is possible to appropriately change, delete, replace with a new component, and partially delete the limited contents of some of the plurality of components. In order to solve some or all of the above-described problems or achieve some or all of the effects described in this specification, technical features included in one embodiment of the present invention described above. A part or all of the technical features included in the other aspects of the present invention described above may be combined to form an independent form of the present invention.

例えば、本発明の一形態は、検出部と、限定接続部と、の2つの要素のうちの一部または全部の要素を備えた方法として実現可能である。すなわち、本装置は、検出部を有していてもよく、有していなくてもよい。また、本装置は、限定接続部を有していてもよく、有していなくてもよい。こうした装置は、例えば無線接続装置として実現できるが、無線接続装置以外の他の装置としても実現可能である。前述した無線接続装置の各形態の技術的特徴の一部または全部は、いずれもこの装置に適用することが可能である。   For example, one embodiment of the present invention can be realized as a method including a part or all of the two elements of the detection unit and the limited connection unit. That is, this apparatus may or may not have a detection unit. Moreover, this apparatus may have a limited connection part and does not need to have it. Such a device can be realized as a wireless connection device, for example, but can also be realized as a device other than the wireless connection device. Any or all of the technical features of each form of the wireless connection device described above can be applied to this device.

本発明は、無線接続装置以外の種々の形態で実現することも可能である。例えば、無線接続装置を制御するための方法、無線接続装置を含むネットワークシステム、これらの方法の一部または全部を実現するコンピュータプログラム、そのコンピュータプログラムを記録した一時的でない記録媒体等の形態で実現することができる。   The present invention can also be realized in various forms other than the wireless connection device. For example, it is realized in the form of a method for controlling a wireless connection device, a network system including the wireless connection device, a computer program that realizes part or all of these methods, a non-temporary recording medium that records the computer program, and the like. can do.

本発明の一実施形態としての無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。It is explanatory drawing which shows a mode that a user connects to the visitor's wireless network using the wireless connection apparatus as one Embodiment of this invention. 無線接続装置と記憶媒体との構成を機能的に示すブロック図である。It is a block diagram which shows the structure of a wireless connection apparatus and a storage medium functionally. 来客者向け処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of a process for visitors. 第2実施形態の無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。It is explanatory drawing which shows a mode that a user connects to the wireless network for visitors using the wireless connection apparatus of 2nd Embodiment. 第2実施形態の無線接続装置と記憶媒体との構成を機能的に示すブロック図である。It is a block diagram which shows functionally the structure of the wireless connection apparatus of 2nd Embodiment, and a storage medium. 第2実施形態における来客者向け処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the process for visitors in 2nd Embodiment. 第3実施形態の無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。It is explanatory drawing which shows a mode that a user connects to the wireless network for visitors using the wireless connection apparatus of 3rd Embodiment. 第3実施形態の無線接続装置と記憶媒体との構成を機能的に示すブロック図である。It is a block diagram which shows functionally the structure of the wireless connection apparatus and storage medium of 3rd Embodiment. 第3実施形態における来客者向け処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the process for visitors in 3rd Embodiment. 第4実施形態の無線接続装置と記憶媒体との構成を機能的に示すブロック図である。It is a block diagram which shows functionally the structure of the wireless connection apparatus and storage medium of 4th Embodiment. 一時鍵発行処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of a temporary key issue process. 第4実施形態における来客者向け処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the process for visitors in 4th Embodiment. 第5実施形態の無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。It is explanatory drawing which shows a mode that a user connects to the wireless network for visitors using the wireless connection apparatus of 5th Embodiment.

次に、本発明の実施の形態を実施形態に基づいて説明する。   Next, an embodiment of the present invention will be described based on the embodiment.

A.第1実施形態:
A−1.システムの概略構成:
図1は、本発明の一実施形態としての無線接続装置を用いて、利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。なお、図1では便宜上、説明上必要としない他のネットワーク中継装置、回線、端末等については図示を省略している。 A. First embodiment:
A-1. System outline:
FIG. 1 is an explanatory diagram showing a state in which a user connects to a visitor's wireless network using a wireless connection device as an embodiment of the present invention. In FIG. 1, for convenience, other network relay devices, lines, terminals, and the like that are not necessary for description are not shown.

無線接続装置10は、IEEE802.11規格と、IEEE802.3規格とに準拠したアクセスポイント装置である。以降、無線接続装置10を「AP10」とも呼ぶ。AP10は、ルータとしても機能し、有線ケーブルを介してインターネットINTに接続されている。AP10は、近距離無線通信のためのインタフェースとして、NFCインタフェース120を備えている。   The wireless connection device 10 is an access point device that conforms to the IEEE 802.11 standard and the IEEE 802.3 standard. Hereinafter, the wireless connection device 10 is also referred to as “AP10”. The AP 10 also functions as a router and is connected to the Internet INT via a wired cable. The AP 10 includes an NFC interface 120 as an interface for short-range wireless communication.

本実施形態のAP10は、後述の来客者向け処理を実行することによって、NFCインタフェース120が、その検出範囲内において記憶媒体20を検出している間に限って、来客者向け無線ネットワークCNへの接続を可能とする。このため、AP10の利用者は、自身が所持する記憶媒体20をAP10のNFCインタフェース120に近接させている間に限り、パーソナルコンピュータ30等の任意の無線端末を用いて、来客者向け無線ネットワークCNへ接続することができる。なお、以降の説明では、AP10の来客者向け無線ネットワークCNに接続されている無線端末のことを単に「ゲスト端末」とも呼ぶ。   The AP 10 according to the present embodiment executes the process for a visitor described later, so that only when the NFC interface 120 detects the storage medium 20 within the detection range, the access to the visitor wireless network CN is performed. Enable connection. For this reason, the user of the AP 10 uses the wireless network CN for the customer using an arbitrary wireless terminal such as the personal computer 30 only while the storage medium 20 possessed by the AP 10 is in proximity to the NFC interface 120 of the AP 10. Can be connected to. In the following description, the wireless terminal connected to the visitor's wireless network CN of the AP 10 is also simply referred to as “guest terminal”.

A−2.無線接続装置の概略構成:
図2は、無線接続装置10と記憶媒体20との構成を機能的に示すブロック図である。図2(A)は、無線接続装置(AP)10の構成を示している。AP10は、CPU110と、NFCインタフェース(I/F)120と、RAM130と、無線通信インタフェース(I/F)140と、有線通信インタフェース(I/F)150と、フラッシュROM160と、を備え、各構成要素はバスにより相互に接続されている。 A-2. Schematic configuration of wireless connection device:
FIG. 2 is a block diagram functionally showing the configuration of the wireless connection device 10 and the storage medium 20. FIG. 2A shows the configuration of the wireless connection device (AP) 10. The AP 10 includes a CPU 110, an NFC interface (I / F) 120, a RAM 130, a wireless communication interface (I / F) 140, a wired communication interface (I / F) 150, and a flash ROM 160. The elements are connected to each other by a bus.

CPU110は、フラッシュROM160に格納されているコンピュータプログラムをRAM130に展開して実行することにより、AP10を制御する。また、CPU110は、中継処理部111、ゲスト用機能112、取得部113、限定接続部114、認証部115の各機能を実現する。   The CPU 110 controls the AP 10 by expanding and executing a computer program stored in the flash ROM 160 on the RAM 130. In addition, the CPU 110 implements the functions of the relay processing unit 111, the guest function 112, the acquisition unit 113, the limited connection unit 114, and the authentication unit 115.

中継処理部111は、AP10が受信したパケットを宛先に応じて転送する中継処理を実行する。中継処理部111は、ゲスト端末、すなわち、来客者向け無線ネットワークに接続されている無線端末向けの機能として、ゲスト用機能112を備えている。ゲスト用機能112は、ゲスト端末から受信したパケットをフィルタリングする機能を持つ。具体的には、中継処理部111は、ゲスト端末から受信したパケットの宛先が、AP10に接続されている他の無線端末である場合、換言すれば、AP10のLAN(Local Area Network)内の端末である場合に、当該パケットを破棄する。これにより、AP10は、ゲスト端末による通信先をインターネットに限定することができる。   The relay processing unit 111 executes relay processing for transferring the packet received by the AP 10 according to the destination. The relay processing unit 111 includes a guest function 112 as a function for a guest terminal, that is, a wireless terminal connected to a visitor wireless network. The guest function 112 has a function of filtering packets received from the guest terminal. Specifically, the relay processing unit 111, when the destination of the packet received from the guest terminal is another wireless terminal connected to the AP 10, in other words, a terminal in the LAN (Local Area Network) of the AP 10 If it is, the packet is discarded. Thereby, AP10 can limit the communication destination by a guest terminal to the internet.

取得部113は、NFCインタフェース120のNFCリーダを用いて、記憶媒体20に記憶されている情報を取得する。   The acquisition unit 113 acquires information stored in the storage medium 20 using an NFC reader of the NFC interface 120.

限定接続部114は、来客者向け処理を実行する。来客者向け処理は、NFCインタフェース120が、その検出範囲内において記憶媒体20を検出している間に限って、来客者向け無線ネットワークへの接続を可能とするための処理である。また、限定接続部114は、NFCインタフェース120と協働することによって、AP10に対する記憶媒体20の近接を検出する「検出部」としても機能する。   The limited connection unit 114 executes a process for a visitor. The visitor process is a process for enabling connection to the visitor wireless network only while the NFC interface 120 detects the storage medium 20 within the detection range. Further, the limited connection unit 114 also functions as a “detection unit” that detects the proximity of the storage medium 20 to the AP 10 by cooperating with the NFC interface 120.

認証部115は、来客者向け処理において、記憶媒体20に記憶されている情報を用いて、記憶媒体20の正当性を認証する。   The authentication unit 115 authenticates the validity of the storage medium 20 using the information stored in the storage medium 20 in the process for the visitor.

NFCインタフェース120は、ISO/IEC14443およびISO/IEC18092に準拠した近距離型の無線通信インタフェースである。NFCは、通信可能な距離が10cm前後に限定された近距離無線通信であり、NFCインタフェースを備える通信機器同士が非接触な状態でも無線通信が可能なことから、非接触無線通信、または、近接無線通信とも呼ばれる。NFCインタフェース120は、NFCリーダ/ライタとアンテナとを含み、アンテナを介して送受信される電波を用いて、近接しているICチップへの情報の読み書きをする。   The NFC interface 120 is a short-range wireless communication interface compliant with ISO / IEC14443 and ISO / IEC18092. NFC is a short-range wireless communication in which a communicable distance is limited to about 10 cm, and wireless communication is possible even in a non-contact state between communication devices having an NFC interface. Also called wireless communication. The NFC interface 120 includes an NFC reader / writer and an antenna, and reads and writes information to and from an adjacent IC chip using radio waves transmitted and received via the antenna.

無線通信インタフェース140は、送受信回路を含み、アンテナを介して受信した電波の復調とデータの生成、および、アンテナを介して送信する電波の生成と変調を行う。有線通信インタフェース150は、インターネットINT(図1)側の回線と接続されるほか、有線ケーブルを通じてLAN内の他の装置(例えばNASやパーソナルコンピュータ等)と接続される。有線通信インタフェース150は、PHY/MACコントローラを含み、受信した信号の波形を整えるほか、受信した信号からMACフレームを取り出す。   The wireless communication interface 140 includes a transmission / reception circuit, and performs demodulation and generation of data received via the antenna, and generation and modulation of radio wave transmitted via the antenna. The wired communication interface 150 is connected to a line on the Internet INT (FIG. 1) side, and is connected to another device (for example, NAS or personal computer) in the LAN through a wired cable. The wired communication interface 150 includes a PHY / MAC controller, adjusts the waveform of the received signal, and extracts a MAC frame from the received signal.

フラッシュROM160には、登録情報161が含まれている。登録情報161には、正当な記憶媒体20(換言すれば、AP10の正当な利用者へ発行された記憶媒体20)に記憶されている認証情報と同一の情報が予め記憶されている。なお、登録情報161には、複数の正当な記憶媒体20に対応する、複数の情報が記憶されていてもよい。   The flash ROM 160 includes registration information 161. The registration information 161 stores in advance the same information as the authentication information stored in the legitimate storage medium 20 (in other words, the storage medium 20 issued to the legitimate user of the AP 10). The registration information 161 may store a plurality of information corresponding to a plurality of valid storage media 20.

A−3.記憶媒体の概略構成:
図2(B)は、記憶媒体20の構成を示している。本実施形態において、記憶媒体20は、ICチップを含んだカードとして実現される。記憶媒体20は、NFCタグ210と呼ばれるICチップを含み、ICチップ内には情報を記録しておくことができる。NFCタグ210には、認証情報211と、接続情報212とが含まれている。以降では、認証情報211と接続情報212とを総称して「媒体情報」とも呼ぶ。 A-3. General configuration of storage medium:
FIG. 2B shows the configuration of the storage medium 20. In the present embodiment, the storage medium 20 is realized as a card including an IC chip. The storage medium 20 includes an IC chip called an NFC tag 210, and information can be recorded in the IC chip. The NFC tag 210 includes authentication information 211 and connection information 212. Hereinafter, the authentication information 211 and the connection information 212 are collectively referred to as “medium information”.

認証情報211には、記憶媒体20を識別するための情報が予め記憶されている。記憶媒体20を識別するための情報には、特に限定はなく、例えば、記憶媒体20に内蔵されているICタグに割り当てられている識別子や任意に割り当てられたUUID(Universally Unique Identifier)等を採用することができる。   In the authentication information 211, information for identifying the storage medium 20 is stored in advance. The information for identifying the storage medium 20 is not particularly limited. For example, an identifier assigned to an IC tag built in the storage medium 20 or an arbitrarily assigned UUID (Universally Unique Identifier) is adopted. can do.

接続情報212には、AP10の来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報が予め記憶されている。無線通信に関する設定情報には、来客者向け無線ネットワークのSSID(Service Set Identifier)と、来客者向け無線ネットワークでの無線通信における認証/暗号化方式と、前記暗号化に使用される暗号鍵と、来客者向け無線ネットワークでの無線通信に使用される無線チャンネルと、が含まれる。なお、来客者向け無線ネットワークのSSIDを、単に「ゲスト用SSID」とも呼ぶ。   In the connection information 212, setting information related to wireless communication necessary for connecting to the wireless network for the visitor of the AP 10 is stored in advance. The setting information related to wireless communication includes an SSID (Service Set Identifier) of a wireless network for visitors, an authentication / encryption method in wireless communication in the wireless network for visitors, an encryption key used for the encryption, And a wireless channel used for wireless communication in a visitor wireless network. The SSID of the visitor's wireless network is also simply referred to as “guest SSID”.

A−4.来客者向け処理:
図3は、来客者向け処理の手順を示すフローチャートである。ステップS102においてNFCインタフェース120は、記憶媒体20のNFCタグ210のタッチを検出する。なお、ステップS102では、タッチの検出に代えて、記憶媒体20のNFCタグ210が、NFCインタフェース120のNFCリーダの読み取り可能範囲にあることを検出してもよい。 A-4. Processing for visitors:
FIG. 3 is a flowchart showing the procedure for the visitor process. In step S <b> 102, the NFC interface 120 detects a touch of the NFC tag 210 of the storage medium 20. In step S102, instead of detecting the touch, it may be detected that the NFC tag 210 of the storage medium 20 is within the readable range of the NFC reader of the NFC interface 120.

ステップS104において取得部113は、NFCインタフェース120のNFCリーダによって読み取られた媒体情報、すなわち、認証情報211と接続情報212とを取得する。   In step S <b> 104, the acquisition unit 113 acquires medium information read by the NFC reader of the NFC interface 120, that is, authentication information 211 and connection information 212.

ステップS106において認証部115は、ステップS104で取得した認証情報211と、フラッシュROM160の登録情報161に記憶されている情報とを照合する。   In step S <b> 106, the authentication unit 115 collates the authentication information 211 acquired in step S <b> 104 with the information stored in the registration information 161 of the flash ROM 160.

ステップS108において認証部115は、ステップS104で取得した認証情報211が登録情報161に登録済であるか否かを判定する。具体的には、認証部115は、ステップS106における照合の結果、取得した認証情報211が登録情報161に記憶されている情報と一致する場合、取得した認証情報211は登録情報161に登録済であり、記憶媒体20は正当であると判定する。一方、認証部115は、ステップS106における照合の結果、取得した認証情報211が登録情報161に記憶されている情報と一致しない場合、取得した認証情報211は登録情報161に登録済でなく、記憶媒体20は正当でないと判定する。なお、登録情報161において、複数の正当な記憶媒体20に対応する複数の情報が記憶されている場合、ステップS108における一致の判定は一部一致でよい。   In step S <b> 108, the authentication unit 115 determines whether or not the authentication information 211 acquired in step S <b> 104 has been registered in the registration information 161. Specifically, if the acquired authentication information 211 matches the information stored in the registration information 161 as a result of the collation in step S106, the authentication unit 115 has already registered the acquired authentication information 211 in the registration information 161. Yes, it is determined that the storage medium 20 is valid. On the other hand, if the acquired authentication information 211 does not match the information stored in the registration information 161 as a result of the collation in step S106, the authentication unit 115 stores the acquired authentication information 211 that has not been registered in the registration information 161. It is determined that the medium 20 is not valid. When a plurality of pieces of information corresponding to a plurality of legitimate storage media 20 are stored in the registration information 161, the match determination in step S108 may be a partial match.

認証情報211が登録情報161に登録済でない場合(ステップS108:NO)、認証部115は、処理をステップS102に遷移させる。一方、認証情報211が登録情報161に登録済である場合(ステップS108:YES)、認証部115は、処理をステップS110に遷移させる。   When the authentication information 211 is not registered in the registration information 161 (step S108: NO), the authentication unit 115 shifts the process to step S102. On the other hand, when the authentication information 211 has been registered in the registration information 161 (step S108: YES), the authentication unit 115 shifts the process to step S110.

ステップS110において限定接続部114は、無線通信インタフェース140を有効にする。ステップS112において限定接続部114は、ゲスト用SSID、すなわち、来客者向け無線ネットワークのSSIDを有効にする。ステップS110、S112により、AP10からはゲスト用SSIDを用いたビーコンが送信される。ステップS114において限定接続部114は、中継処理部111のゲスト用機能112を有効にする。   In step S110, the limited connection unit 114 enables the wireless communication interface 140. In step S112, the limited connection unit 114 validates the guest SSID, that is, the SSID of the visitor's wireless network. Through steps S110 and S112, the AP 10 transmits a beacon using the guest SSID. In step S114, the limited connection unit 114 enables the guest function 112 of the relay processing unit 111.

ステップS116において限定接続部114は、例えばパーソナルコンピュータ30等の任意の無線端末との無線通信CN(図1)を確立する。具体的には、限定接続部114は、無線端末から送信されるプローブ要求を受信し、プローブ応答の送信と、認証等の処理を行うことによって、無線端末との無線通信を確立する。   In step S116, the limited connection unit 114 establishes a wireless communication CN (FIG. 1) with an arbitrary wireless terminal such as the personal computer 30, for example. Specifically, the limited connection unit 114 receives a probe request transmitted from a wireless terminal, establishes wireless communication with the wireless terminal by performing processing such as transmission of a probe response and authentication.

ステップS116以降は、図1に示すように、使用者は、パーソナルコンピュータ30等の任意の無線端末を用いて、AP10の来客者向け無線ネットワークCNへ接続することができる。なお、来客者向け無線ネットワークCNにおける無線端末の通信先は、中継処理部111のゲスト用機能112によって、インターネットに限定される。   After step S116, as shown in FIG. 1, the user can connect to the visitor's wireless network CN of the AP 10 using an arbitrary wireless terminal such as the personal computer 30. Note that the communication destination of the wireless terminal in the visitor wireless network CN is limited to the Internet by the guest function 112 of the relay processing unit 111.

ステップS118において限定接続部114は、NFCインタフェース120が記憶媒体20のNFCタグ210のタッチを検出しているか否かを判定する。なお、ステップS118では、ステップS102と同様に、タッチの検出に代えて、記憶媒体20のNFCタグ210が、NFCインタフェース120のNFCリーダの読み取り可能範囲にあるか否かを判定してもよい。   In step S <b> 118, the limited connection unit 114 determines whether the NFC interface 120 has detected a touch of the NFC tag 210 of the storage medium 20. In step S118, as in step S102, it may be determined whether the NFC tag 210 of the storage medium 20 is within the readable range of the NFC reader of the NFC interface 120, instead of detecting touch.

NFCタグ210のタッチを検出している場合(ステップS118:YES)、限定接続部114は処理をステップS118に遷移させ、NFCインタフェース120が記憶媒体20のNFCタグ210のタッチを検出しているか否かの監視を継続する。一方、NFCタグ210のタッチを検出していない場合(ステップS118:NO)、限定接続部114は、処理をステップS120に遷移させる。   When the touch of the NFC tag 210 is detected (step S118: YES), the limited connection unit 114 shifts the process to step S118, and whether or not the NFC interface 120 detects the touch of the NFC tag 210 of the storage medium 20. Continue monitoring. On the other hand, when the touch of the NFC tag 210 is not detected (step S118: NO), the limited connection unit 114 causes the process to transition to step S120.

ステップS120において限定接続部114は、中継処理部111のゲスト用機能112を無効にする。ステップS122において限定接続部114は、ゲスト用SSIDを無効にする。ステップS124において限定接続部114は、無線通信インタフェース140を無効にする。ステップS122、S124により、使用者の無線端末の来客者向け無線ネットワークCNへの接続が切断されると共に、AP10からのゲスト用SSIDを用いたビーコンの送信が停止される。このように、来客者向け無線ネットワークへの接続を許可しない間において、無線通信インタフェース140を無効にすれば、AP10の消費電力を低減させることができる。   In step S120, the limited connection unit 114 disables the guest function 112 of the relay processing unit 111. In step S122, the limited connection unit 114 invalidates the guest SSID. In step S124, the limited connection unit 114 disables the wireless communication interface 140. Through steps S122 and S124, the connection of the user's wireless terminal to the visitor's wireless network CN is disconnected, and transmission of the beacon using the guest SSID from the AP 10 is stopped. As described above, the power consumption of the AP 10 can be reduced by disabling the wireless communication interface 140 while not permitting connection to the visitor's wireless network.

以上のように、第1実施形態の来客者向け処理によれば、限定接続部114は、AP10(無線接続装置)と認証情報211が記憶された記憶媒体20とが近接している間に限り、パーソナルコンピュータ30(無線端末)による来客者向け無線ネットワークCNへの接続を可能とする。このように、来客者向け無線ネットワークCNの接続に対して、記憶媒体20が必要であるという制限を設ければ、ゲスト用SSID(来客者向け無線ネットワーク用のSSID)等が漏えいしたとしても、悪意のある第三者は、来客者向け無線ネットワークCNへ接続することができない。さらに、正当な利用者が記憶媒体20を紛失した、または、記憶媒体20が悪意のある第三者によって偽造された、等の場合であっても、「AP10と記憶媒体20の近接」という物理的な距離の制限のために、記憶媒体20を入手した第三者は、遠隔では来客者向け無線ネットワークCNへ接続することができない。この結果、AP10において、来客者向け無線ネットワークCNへの不正アクセスのリスクを低減することで、来客者向け無線ネットワークCNにおけるセキュリティを向上させることができる。また、来客者向け無線ネットワークCNを利用するためには、利用者は、記憶媒体20とAP10とを近接させればよいため、AP10において、来客者向け無線ネットワークCNを簡便に利用可能とすることができる。   As described above, according to the process for a visitor of the first embodiment, the limited connection unit 114 is only while the AP 10 (wireless connection device) and the storage medium 20 in which the authentication information 211 is stored are close to each other. The personal computer 30 (wireless terminal) can be connected to the wireless network CN for visitors. Thus, if the restriction that the storage medium 20 is necessary for connection of the wireless network CN for customers is provided, even if the SSID for guests (SSID for the wireless network for visitors) etc. leaks, A malicious third party cannot connect to the visitor's wireless network CN. Furthermore, even if a legitimate user has lost the storage medium 20 or the storage medium 20 has been forged by a malicious third party, the physicality of “proximity between the AP 10 and the storage medium 20”. Due to the limited distance, a third party who obtains the storage medium 20 cannot connect to the customer-oriented wireless network CN remotely. As a result, the security in the visitor's wireless network CN can be improved by reducing the risk of unauthorized access to the visitor's wireless network CN in the AP 10. Further, in order to use the visitor's wireless network CN, the user only needs to bring the storage medium 20 and the AP 10 close to each other, so that the visitor's wireless network CN can be easily used in the AP 10. Can do.

さらに、第1実施形態の来客者向け処理によれば、限定接続部114およびNFCインタフェース120(検出部)は、取得部113による認証情報211の取得が可能な場合に、AP10(無線接続装置)と記憶媒体20とが近接していると判定する。このため、「AP10と記憶媒体20の近接」という物理的な距離の制限を、採用される近距離無線通信の方式による情報の読み書き範囲の広さに応じて、数センチ〜1メートル前後の間で任意に調整することができる。   Furthermore, according to the process for the visitor of the first embodiment, the limited connection unit 114 and the NFC interface 120 (detection unit), when the acquisition unit 113 can acquire the authentication information 211, the AP 10 (wireless connection device). And the storage medium 20 are determined to be close to each other. For this reason, the physical distance limitation of “proximity between the AP 10 and the storage medium 20” is limited to a few centimeters to about 1 meter depending on the range of information read / write range by the short-range wireless communication method employed. Can be adjusted arbitrarily.

さらに、第1実施形態の来客者向け処理によれば、限定接続部114は、ゲスト用機能112を有効とすることで、来客者向け無線ネットワークCNへ接続しているパーソナルコンピュータ30(無線端末)から、AP10(無線接続装置)が提供する複数のネットワークのうちの、他のネットワークへの通信を制限する。すなわち、来客者向け無線ネットワークCNを、AP10に接続されている他の無線端末で構成される他のネットワーク(例えばLAN等)から分離させることができる。このため、来客者向け無線ネットワークCNへ接続しているパーソナルコンピュータ30(無線端末)から他のネットワークに対する不正アクセスを抑制することができ、AP10におけるセキュリティをより向上させることができる。   Furthermore, according to the process for the visitor of the first embodiment, the limited connection unit 114 enables the guest function 112 to connect the personal computer 30 (wireless terminal) connected to the visitor's wireless network CN. From the plurality of networks provided by the AP 10 (wireless connection device), communication to other networks is restricted. That is, the customer-facing wireless network CN can be separated from other networks (for example, a LAN or the like) composed of other wireless terminals connected to the AP 10. For this reason, the unauthorized access to the other network from the personal computer 30 (wireless terminal) connected to the visitor's wireless network CN can be suppressed, and the security in the AP 10 can be further improved.

さらに、第1実施形態の来客者向け処理によれば、認証部115は、記憶媒体20に記憶されている認証情報211を用いて、記憶媒体20の正当性を認証する。このため、記憶媒体20が悪意のある第三者によって偽造された等、記憶媒体20の正当性が確認できなかった場合に、当該記憶媒体20を用いた接続を禁止するといった措置を採用することができる。この結果、AP10(無線接続装置)におけるセキュリティをより向上させることができる。   Furthermore, according to the process for the visitor of the first embodiment, the authentication unit 115 authenticates the validity of the storage medium 20 using the authentication information 211 stored in the storage medium 20. For this reason, when the correctness of the storage medium 20 cannot be confirmed, for example, when the storage medium 20 has been forged by a malicious third party, a measure that prohibits connection using the storage medium 20 is adopted. Can do. As a result, the security in the AP 10 (wireless connection device) can be further improved.

B.第2実施形態:
本発明の第2実施形態では、第1実施形態とは異なるネットワーク構成を採用した場合の例について説明する。以下では、第1実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施形態と同様の構成部分については先に説明した第1実施形態と同様の符号を付し、その詳細な説明を省略する。 B. Second embodiment:
In the second embodiment of the present invention, an example in which a network configuration different from that of the first embodiment is employed will be described. Below, only the part which has a different structure and operation | movement from 1st Embodiment is demonstrated. In the figure, the same components as those of the first embodiment are denoted by the same reference numerals as those of the first embodiment described above, and detailed description thereof is omitted.

B−1.システムの概略構成:
図4は、第2実施形態の無線接続装置を用いて、利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。図1に示した第1実施形態との違いは、AP10に代えてAP10aを備える点と、記憶媒体20に代えて記憶媒体20aを備える点と、AP10aがネットワーク装置40に接続されている点である。 B-1. System outline:
FIG. 4 is an explanatory diagram showing a state in which a user connects to a visitor's wireless network using the wireless connection device of the second embodiment. The difference from the first embodiment shown in FIG. 1 is that an AP 10 a is provided instead of the AP 10, a storage medium 20 a is provided instead of the storage medium 20, and the AP 10 a is connected to the network device 40. is there.

ネットワーク装置40は、IEEE802.11規格と、IEEE802.3規格とに準拠したアクセスポイント装置である。以降、ネットワーク装置40を「AP40」とも呼ぶ。AP40は、ルータとしても機能し、有線ケーブルを介してインターネットINTに接続されている。   The network device 40 is an access point device that complies with the IEEE 802.11 standard and the IEEE 802.3 standard. Hereinafter, the network device 40 is also referred to as “AP40”. The AP 40 also functions as a router and is connected to the Internet INT via a wired cable.

B−2.無線接続装置の概略構成:
図5は、第2実施形態の無線接続装置10aと記憶媒体20aとの構成を機能的に示すブロック図である。図5(A)は、無線接続装置(AP)10aの構成を示している。図2(A)に示した第1実施形態との違いは、CPU110に代えてCPU110aを備える点である。CPU110aは、限定接続部114に代えて限定接続部114aを備えている。限定接続部114aは、実行する来客者向け処理の処理内容が第1実施形態と異なる。 B-2. Schematic configuration of wireless connection device:
FIG. 5 is a block diagram functionally showing the configurations of the wireless connection device 10a and the storage medium 20a of the second embodiment. FIG. 5A shows the configuration of the wireless connection device (AP) 10a. The difference from the first embodiment shown in FIG. 2A is that a CPU 110 a is provided instead of the CPU 110. The CPU 110 a includes a limited connection unit 114 a instead of the limited connection unit 114. The limited connection unit 114a is different from the first embodiment in the processing content of the process for a visitor to be executed.

B−3.記憶媒体の概略構成:
図5(B)は、記憶媒体20aの構成を示している。図2(B)に示した第1実施形態との違いは、NFCタグ210に代えてNFCタグ210aを備える点である。NFCタグ210aは、接続情報212に代えて接続情報212aを備えている。接続情報212aには、AP10aの来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報に加えて、AP40の来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報が予め記憶されている。各設定情報の詳細は、図2(B)で説明した通りである。 B-3. General configuration of storage medium:
FIG. 5B shows the configuration of the storage medium 20a. A difference from the first embodiment shown in FIG. 2B is that an NFC tag 210 a is provided instead of the NFC tag 210. The NFC tag 210 a includes connection information 212 a instead of the connection information 212. In the connection information 212a, in addition to the setting information related to the wireless communication required for connecting to the visitor's wireless network of the AP 10a, the setting information related to the wireless communication required to connect to the visitor's wireless network of the AP 40a. Is stored in advance. The details of each setting information are as described with reference to FIG.

B−4.来客者向け処理:
図6は、第2実施形態における来客者向け処理の手順を示すフローチャートである。図3に示した第1実施形態との違いは、ステップS116に代えてステップS202およびS204を備える点である。なお、以下に説明するステップS202とS204との実行順序は逆にしてもよい。 B-4. Processing for visitors:
FIG. 6 is a flowchart illustrating a procedure of processing for a visitor in the second embodiment. The difference from the first embodiment shown in FIG. 3 is that steps S202 and S204 are provided instead of step S116. The execution order of steps S202 and S204 described below may be reversed.

ステップS202において限定接続部114aは、AP40との間の無線通信CN2(図4)を確立する。具体的には、限定接続部114aは、AP40から送信されるビーコンに応じてプローブ要求を送信する。AP40からのプローブ応答の受信と、AP40による認証等の処理を経て、AP10aは、AP40との間の無線通信を確立する。ステップS204において限定接続部114aは、例えばパーソナルコンピュータ30等の任意の無線端末との無線通信CN1(図4)を確立する。具体的には、限定接続部114aは、無線端末から送信されるプローブ要求を受信し、プローブ応答の送信と、認証等の処理を行うことによって、無線端末との無線通信を確立する。   In step S202, the limited connection unit 114a establishes wireless communication CN2 (FIG. 4) with the AP 40. Specifically, the limited connection unit 114a transmits a probe request according to a beacon transmitted from the AP 40. After receiving the probe response from the AP 40 and processing such as authentication by the AP 40, the AP 10a establishes wireless communication with the AP 40. In step S204, the limited connection unit 114a establishes wireless communication CN1 (FIG. 4) with an arbitrary wireless terminal such as the personal computer 30, for example. Specifically, the limited connection unit 114a receives the probe request transmitted from the wireless terminal, and establishes wireless communication with the wireless terminal by performing processing such as transmission of a probe response and authentication.

ステップS204以降は、図4に示すように、使用者は、パーソナルコンピュータ30等の任意の無線端末を用いて、AP10aの来客者向け無線ネットワークCN1、CN2へ接続することができる。なお、来客者向け無線ネットワークCN1、2における無線端末の通信先は、中継処理部111のゲスト用機能112によって、インターネットに限定される。また、ステップS118以降において、NFCタグ210のタッチまたは近接を検出できなくなった場合に、使用者の無線端末の来客者向け無線ネットワークCN1、2への接続を切断する点は、第1実施形態と同様である。   After step S204, as shown in FIG. 4, the user can connect to the visitor's wireless networks CN1 and CN2 of the AP 10a using an arbitrary wireless terminal such as the personal computer 30. Note that the communication destinations of the wireless terminals in the customer wireless networks CN 1 and 2 are limited to the Internet by the guest function 112 of the relay processing unit 111. Further, in step S118 and subsequent steps, when the touch or proximity of the NFC tag 210 cannot be detected, the connection of the user's wireless terminal to the customer wireless networks CN1, 2 is cut off from the first embodiment. It is the same.

以上のように、第2実施形態の来客者向け処理によれば、第1実施形態で説明した効果と同様の効果を得ることができる。さらに、第2実施形態の来客者向け処理によれば、限定接続部114aは、さらに、AP10a(無線接続装置)とインターネットINTとの間に、インターネットINT接続の際のゲートウェイとして機能するAP40(ネットワーク装置)がある場合に、当該AP40に対して、AP10aを介した来客者向け無線ネットワークへの接続を許可させる(ステップS202)。このため、AP10aとインターネットINTとの間にネットワーク装置がある場合であっても、来客者向け無線ネットワークCN1へ接続しているパーソナルコンピュータ30(無線端末)からインターネットINTへの通信を実現することができる。   As described above, according to the process for a visitor according to the second embodiment, the same effect as that described in the first embodiment can be obtained. Further, according to the process for the visitor of the second embodiment, the limited connection unit 114a further connects the AP 40 (network) functioning as a gateway for the Internet INT connection between the AP 10a (wireless connection device) and the Internet INT. If there is a device, the AP 40 is allowed to connect to the visitor's wireless network via the AP 10a (step S202). Therefore, even when there is a network device between the AP 10a and the Internet INT, communication from the personal computer 30 (wireless terminal) connected to the visitor's wireless network CN1 to the Internet INT can be realized. it can.

C.第3実施形態:
本発明の第3実施形態では、第2実施形態で説明した構成において、ゲスト端末からインターネットを介したLANアクセスを実現する場合の例について説明する。以下では、第2実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第2実施形態と同様の構成部分については先に説明した第2実施形態と同様の符号を付し、その詳細な説明を省略する。 C. Third embodiment:
In the third embodiment of the present invention, an example in which LAN access from a guest terminal via the Internet is realized in the configuration described in the second embodiment will be described. Below, only the part which has a different structure and operation | movement from 2nd Embodiment is demonstrated. In the figure, components similar to those of the second embodiment are denoted by the same reference numerals as those of the second embodiment described above, and detailed description thereof is omitted.

C−1.システムの概略構成:
図7は、第3実施形態の無線接続装置を用いて、利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。図2に示した第2実施形態との違いは、AP10aに代えてAP10bを備える点と、記憶媒体20aに代えて記憶媒体20bを備える点と、AP40に代えてAP40bを備える点と、ルータ50を備える点と、サーバ60を備える点である。 C-1. System outline:
FIG. 7 is an explanatory diagram illustrating a state in which a user connects to a visitor's wireless network using the wireless connection device of the third embodiment. 2 differs from the second embodiment shown in FIG. 2 in that an AP 10b is provided instead of the AP 10a, a storage medium 20b is provided instead of the storage medium 20a, an AP 40b is provided instead of the AP 40, and a router 50. And a point provided with the server 60.

AP40bは、IEEE802.11規格と、IEEE802.3規格とに準拠したアクセスポイント装置である。AP40は、ルータとしても機能し、有線ケーブルを介してインターネットINTに接続されている。AP40bは、IPsec(Security Architecture for Internet Protocol)を使用して、AP40bを終端とする仮想プライベートネットワーク(以降「VPN」とも呼ぶ、Virtual Private Network)を用いた通信路TNを確立することができる。   The AP 40b is an access point device that conforms to the IEEE 802.11 standard and the IEEE 802.3 standard. The AP 40 also functions as a router and is connected to the Internet INT via a wired cable. The AP 40b can establish a communication path TN using a virtual private network (hereinafter also referred to as “VPN”) terminated with the AP 40b by using IPsec (Security Architecture for Internet Protocol).

ルータ50は、IEEE802.3規格に準拠したルータ装置である。ルータ50は、有線ケーブルを介してインターネットINTおよびサーバ60と接続されている。ルータ50は、AP40bと同様に、IPsecを使用して、ルータ50を終端とするVPNを用いた通信路TNを確立することができる。   The router 50 is a router device that conforms to the IEEE 802.3 standard. The router 50 is connected to the Internet INT and the server 60 via a wired cable. Similarly to the AP 40b, the router 50 can establish a communication path TN using VPN that terminates the router 50 using IPsec.

サーバ60は、図示しないハードディスクドライブを備えている。サーバ60のハードディスクドライブには、音声データ、画像データ、アプリケーションデータ等の様々なユーザデータが格納されている。   The server 60 includes a hard disk drive (not shown). The hard disk drive of the server 60 stores various user data such as audio data, image data, and application data.

C−2.無線接続装置の概略構成:
図8は、第3実施形態の無線接続装置10bと記憶媒体20bとの構成を機能的に示すブロック図である。図8(A)は、無線接続装置(AP)10bの構成を示している。図5(A)に示した第2実施形態との違いは、CPU110aに代えてCPU110bを備える点である。CPU110bは、限定接続部114aに代えて限定接続部114bを備え、さらに、仮想化要求部116を備えている。限定接続部114bは、実行する来客者向け処理の処理内容が第2実施形態と異なる。仮想化要求部116は、AP40bに対して、VPNを用いた通信路TNの確立を要求する。 C-2. Schematic configuration of wireless connection device:
FIG. 8 is a block diagram functionally showing the configuration of the wireless connection device 10b and the storage medium 20b of the third embodiment. FIG. 8A shows the configuration of the wireless connection device (AP) 10b. A difference from the second embodiment shown in FIG. 5A is that a CPU 110b is provided instead of the CPU 110a. The CPU 110b includes a limited connection unit 114b instead of the limited connection unit 114a, and further includes a virtualization request unit 116. The limited connection unit 114b is different from the second embodiment in the processing content of the process for a visitor to be executed. The virtualization request unit 116 requests the AP 40b to establish a communication path TN using VPN.

C−3.記憶媒体の概略構成:
図8(B)は、記憶媒体20bの構成を示している。図5(B)に示した第2実施形態との違いは、NFCタグ210aに代えてNFCタグ210bを備える点である。NFCタグ210bは、接続情報212aに代えて接続情報212bを備えている。接続情報212bには、AP10bの来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報と、AP40bの来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報と、に加えて、AP40bがVPNを用いた通信路TNを確立するために必要となる設定情報が予め記憶されている。この設定情報は、具体的には、VPN設定情報と、接続用の鍵と、を含む。 C-3. General configuration of storage medium:
FIG. 8B shows the configuration of the storage medium 20b. The difference from the second embodiment shown in FIG. 5B is that an NFC tag 210b is provided instead of the NFC tag 210a. The NFC tag 210b includes connection information 212b instead of the connection information 212a. The connection information 212b includes setting information related to wireless communication necessary for connecting to the wireless network for the customer of the AP 10b, setting information related to wireless communication required to connect to the wireless network for the visitor of the AP 40b, In addition, setting information necessary for the AP 40b to establish the communication path TN using VPN is stored in advance. Specifically, the setting information includes VPN setting information and a connection key.

C−4.来客者向け処理:
図9は、第3実施形態における来客者向け処理の手順を示すフローチャートである。図6に示した第2実施形態との違いは、ステップS204の次に、さらにステップS302を備える点である。なお、以下に説明するステップS202、S204、S302の実行順序は入れ替えてもよい。 C-4. Processing for visitors:
FIG. 9 is a flowchart illustrating a procedure of processing for a visitor in the third embodiment. The difference from the second embodiment shown in FIG. 6 is that step S302 is further provided after step S204. Note that the execution order of steps S202, S204, and S302 described below may be switched.

ステップS302において仮想化要求部116は、AP40bに対してVPN設定要求を送信する。この際、仮想化要求部116は、ステップS104で取得した接続情報212bに含まれるVPN設定情報と接続用の鍵とを、VPN設定要求と共に送信する。VPN設定要求を受信したAP40bは、VPN設定情報に従って通信路TNを確立するために必要となる設定を実施し、ルータ50との間で接続用の鍵交換を実施し、VPNを用いた通信路TNを確立する。   In step S302, the virtualization request unit 116 transmits a VPN setting request to the AP 40b. At this time, the virtualization request unit 116 transmits the VPN setting information and the connection key included in the connection information 212b acquired in step S104 together with the VPN setting request. The AP 40b that has received the VPN setting request performs setting necessary for establishing the communication path TN according to the VPN setting information, performs a key exchange for connection with the router 50, and uses the VPN for the communication path. Establish TN.

ステップS302以降は、図7に示すように、使用者は、パーソナルコンピュータ30等の任意の無線端末を用いて、AP10bの来客者向け無線ネットワークCN1、CN2へ接続することができる。さらに、インターネットINTを介したサーバ60との通信内容は、VPNを用いた通信路TNによってカプセル化、暗号化される。なお、来客者向け無線ネットワークCN1、2における無線端末の通信先は、中継処理部111のゲスト用機能112によって、インターネットに限定される。また、ステップS118以降において、NFCタグ210のタッチまたは近接を検出できなくなった場合に、使用者の無線端末の来客者向け無線ネットワークCN1、2への接続を切断する点は、第2実施形態と同様である。さらに、来客者向け無線ネットワークCN2の切断に伴い、AP40bは、ルータ50との間のVPN接続を切断する。   After step S302, as shown in FIG. 7, the user can connect to the visitor's wireless networks CN1 and CN2 of the AP 10b using an arbitrary wireless terminal such as the personal computer 30. Furthermore, the contents of communication with the server 60 via the Internet INT are encapsulated and encrypted by the communication path TN using VPN. Note that the communication destinations of the wireless terminals in the customer wireless networks CN 1 and 2 are limited to the Internet by the guest function 112 of the relay processing unit 111. Further, in step S118 and subsequent steps, when the touch or proximity of the NFC tag 210 cannot be detected, the connection of the user's wireless terminal to the wireless networks CN1 and CN2 for visitors is disconnected from the second embodiment. It is the same. Furthermore, the AP 40b disconnects the VPN connection with the router 50 along with the disconnection of the visitor's wireless network CN2.

以上のように、第3実施形態の来客者向け処理によれば、第2実施形態で説明した効果と同様の効果を得ることができる。さらに、第3実施形態の来客者向け処理によれば、仮想化要求部116は、AP10b(無線接続装置)とインターネットINTとの間にAP40b(ネットワーク装置)がある場合に、当該AP40bに対して、VPN(仮想プライベートネットワーク)を用いた通信路TNの確立を要求する。VPNを用いた通信路TNでは、インターネットINTを経由した通信内容のカプセル化や暗号化が行われる。このため、来客者向け無線ネットワークへ接続しているパーソナルコンピュータ30(無線端末)と、無線端末の通信相手装置、すなわち上記実施形態によればサーバ60と、の間の通信におけるセキュリティを向上させることができる。   As described above, according to the process for a visitor according to the third embodiment, the same effect as that described in the second embodiment can be obtained. Furthermore, according to the process for the visitor of the third embodiment, the virtualization requesting unit 116, when there is an AP 40b (network device) between the AP 10b (wireless connection device) and the Internet INT, , Request establishment of a communication channel TN using a VPN (virtual private network). In the communication path TN using VPN, the communication contents via the Internet INT are encapsulated and encrypted. For this reason, it is possible to improve security in communication between the personal computer 30 (wireless terminal) connected to the visitor's wireless network and the communication partner device of the wireless terminal, that is, the server 60 according to the above embodiment. Can do.

D.第4実施形態:
本発明の第4実施形態では、第1実施形態で説明した構成において、さらに、一時的に有効な一時鍵を用いて記憶媒体の認証を実施する構成について説明する。以下では、第1実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施形態と同様の構成部分については先に説明した第1実施形態と同様の符号を付し、その詳細な説明を省略する。 D. Fourth embodiment:
In the fourth embodiment of the present invention, a configuration for performing authentication of a storage medium using a temporary key that is temporarily valid in the configuration described in the first embodiment will be described. Below, only the part which has a different structure and operation | movement from 1st Embodiment is demonstrated. In the figure, the same components as those of the first embodiment are denoted by the same reference numerals as those of the first embodiment described above, and detailed description thereof is omitted.

D−1.システムの概略構成:
第4実施形態の無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子は、図1に示した第1実施形態と同様である。ただし、第4実施形態では、AP10に代えてAP10cを備え、記憶媒体20に代えて記憶媒体20cを備える。 D-1. System outline:
The manner in which the user connects to the visitor's wireless network using the wireless connection device of the fourth embodiment is the same as that of the first embodiment shown in FIG. However, in the fourth embodiment, an AP 10c is provided instead of the AP 10, and a storage medium 20c is provided instead of the storage medium 20.

D−2.無線接続装置の概略構成:
図10は、第4実施形態の無線接続装置10cと記憶媒体20cとの構成を機能的に示すブロック図である。図10(A)は、無線接続装置(AP)10cの構成を示している。図2(A)に示した第1実施形態との違いは、CPU110に代えてCPU110cを備える点と、フラッシュROM160に代えてフラッシュROM160cを備える点である。 D-2. Schematic configuration of wireless connection device:
FIG. 10 is a block diagram functionally showing the configuration of the wireless connection device 10c and the storage medium 20c of the fourth embodiment. FIG. 10A shows the configuration of the wireless connection device (AP) 10c. The difference from the first embodiment shown in FIG. 2A is that a CPU 110 c is provided instead of the CPU 110 and a flash ROM 160 c is provided instead of the flash ROM 160.

CPU110cは、取得部113に代えて取得部113cを備え、限定接続部114に代えて限定接続部114cを備え、認証部115に代えて認証部115cを備えている。取得部113cは、記憶媒体20cから取得する情報が第1実施形態と異なる。限定接続部114cは、実行する来客者向け処理の処理内容が第1実施形態と異なる。認証部115cは、来客者向け処理において、記憶媒体20cに記憶されている情報を用いて、記憶媒体20cの正当性を認証する。さらに、本実施形態の認証部115cは、来客者向け処理に先立って、一時鍵発行処理を実行することで、一時的に有効な一時鍵を生成すると共に、生成した一時鍵を記憶媒体20cに記憶させる。ここで、一時鍵とは、時間的制限または回数的制限が付された鍵である限り、任意の形態を採用可能である。一時鍵は、例えば、一回限り有効なワンタイムキー(ワンタイムパスワード)であってもよい。   The CPU 110c includes an acquisition unit 113c instead of the acquisition unit 113, includes a limited connection unit 114c instead of the limited connection unit 114, and includes an authentication unit 115c instead of the authentication unit 115. The acquisition unit 113c differs from the first embodiment in information acquired from the storage medium 20c. The limited connection unit 114c is different from the first embodiment in the processing content of the process for a visitor to be executed. The authentication unit 115c authenticates the legitimacy of the storage medium 20c using information stored in the storage medium 20c in the process for a visitor. Further, the authentication unit 115c of the present embodiment generates a temporary key that is temporarily valid by executing a temporary key issuance process prior to the visitor process, and the generated temporary key is stored in the storage medium 20c. Remember me. Here, the temporary key can adopt any form as long as it is a key with a time restriction or a time restriction. The temporary key may be, for example, a one-time key (one-time password) that is valid only once.

フラッシュROM160cは、登録情報161に加えてさらに、発行済鍵記憶部162を備えている。発行済鍵記憶部は、認証部115cが実行する一時鍵発行処理によって生成された一時鍵と同一の情報が記憶されている。   The flash ROM 160 c includes an issued key storage unit 162 in addition to the registration information 161. The issued key storage unit stores the same information as the temporary key generated by the temporary key issuing process executed by the authentication unit 115c.

D−3.記憶媒体の概略構成:
図10(B)は、記憶媒体20cの構成を示している。図2(B)に示した第1実施形態との違いは、NFCタグ210に代えてNFCタグ210cを備える点である。NFCタグ210cには、一時鍵発行処理を経て、一時鍵213が記憶される。 D-3. General configuration of storage medium:
FIG. 10B shows the configuration of the storage medium 20c. A difference from the first embodiment shown in FIG. 2B is that an NFC tag 210 c is provided instead of the NFC tag 210. A temporary key 213 is stored in the NFC tag 210c after a temporary key issuing process.

D−4.一時鍵発行処理:
図11は、一時鍵発行処理の手順を示すフローチャートである。一時鍵発行処理は、図12に示す来客者向け処理に先立って実行される。ステップS402においてNFCインタフェース120は、記憶媒体20cのNFCタグ210cのタッチを検出する。なお、ステップS402では、タッチの検出に代えて、NFCタグ210cが、NFCインタフェース120のNFCリーダの読み取り可能範囲にあることを検出してもよい。なお、一時鍵発行処理の開始トリガと、後述の来客者向け処理の開始トリガとを区別するために、ステップS402では、記憶媒体20cのNFCタグ210cのタッチの検出に代えて、またはタッチの検出と共に、AP10cが備えるボタンの押下の検出や、HTTP(HyperText Transfer Protocol)等の手段により提供されるAP10の設定画面を介して与えられる利用者からの指示を利用してもよい。 D-4. Temporary key issue processing:
FIG. 11 is a flowchart showing the procedure of the temporary key issuing process. The temporary key issuing process is executed prior to the visitor process shown in FIG. In step S402, the NFC interface 120 detects a touch of the NFC tag 210c of the storage medium 20c. In step S402, it may be detected that the NFC tag 210c is within the readable range of the NFC reader of the NFC interface 120, instead of detecting the touch. In order to distinguish between the trigger for starting the temporary key issuing process and the trigger for starting the process for a visitor described later, in step S402, instead of detecting the touch of the NFC tag 210c of the storage medium 20c, or detecting the touch At the same time, it is also possible to use an instruction from the user given via the setting screen of the AP 10 provided by means such as detection of a button provided in the AP 10c or means such as HTTP (HyperText Transfer Protocol).

ステップS404において認証部115cは、一時鍵を生成する。一時鍵の生成には、例えば、数学的アルゴリズムを利用した生成方法や、時刻同期型の生成方法等、周知の種々の方法を採用することができる。   In step S404, the authentication unit 115c generates a temporary key. For generation of the temporary key, for example, various known methods such as a generation method using a mathematical algorithm and a time synchronization type generation method can be employed.

ステップS406において認証部115cは、ステップS404で生成した一時鍵を、NFCインタフェース120のNFCライタを介して、記憶媒体20cのNFCタグ210cに記憶させる。ステップS406を経て、記憶媒体20cのNFCタグ210cには、一時鍵213が記憶される。   In step S406, the authentication unit 115c stores the temporary key generated in step S404 in the NFC tag 210c of the storage medium 20c via the NFC writer of the NFC interface 120. Through step S406, the temporary key 213 is stored in the NFC tag 210c of the storage medium 20c.

ステップS408において認証部115cは、ステップS404で生成した一時鍵を、フラッシュROM160cの発行済鍵記憶部162に記憶させる。なお、この際、認証部115cは、一時鍵を表す情報に加えて、一時鍵に付された制限(時間的制限、回数的制限)を発行済鍵記憶部162に記憶させてもよい。   In step S408, the authentication unit 115c stores the temporary key generated in step S404 in the issued key storage unit 162 of the flash ROM 160c. At this time, the authentication unit 115c may store in the issued key storage unit 162 the restrictions (temporal limit, number of times limit) attached to the temporary key in addition to the information indicating the temporary key.

このように、一時鍵発行処理によれば、認証部115cは、一時的に有効な一時鍵を生成すると共に、生成した一時鍵をNFC(近距離無線通信)によって記憶媒体20cに記憶させることができる。このため、第4実施形態の来客者向け処理において必要となる一時鍵を、手軽に発行することができる。   As described above, according to the temporary key issuing process, the authentication unit 115c can temporarily generate a valid temporary key and store the generated temporary key in the storage medium 20c by NFC (Near Field Communication). it can. For this reason, the temporary key required in the process for visitors of the fourth embodiment can be issued easily.

D−5.来客者向け処理:
図12は、第4実施形態における来客者向け処理の手順を示すフローチャートである。図1に示した第1実施形態との違いは、ステップS104〜S108に代えてステップS502〜S506を備える点である。 D-5. Processing for visitors:
FIG. 12 is a flowchart illustrating a procedure of processing for a visitor in the fourth embodiment. The difference from the first embodiment shown in FIG. 1 is that steps S502 to S506 are provided instead of steps S104 to S108.

ステップS502において取得部113cは、NFCインタフェース120のNFCリーダによって読み取られた媒体情報、すなわち、認証情報211と、接続情報212と、一時鍵213とを取得する。ステップS504において認証部115cは、ステップS502で取得した認証情報211と、フラッシュROM160cの登録情報161に記憶されている情報とを照合する。また、認証部115cは、ステップS502で取得した一時鍵213と、フラッシュROM160cの発行済鍵記憶部162に記憶されている情報とを照合する。   In step S502, the acquisition unit 113c acquires medium information read by the NFC reader of the NFC interface 120, that is, authentication information 211, connection information 212, and a temporary key 213. In step S504, the authentication unit 115c collates the authentication information 211 acquired in step S502 with the information stored in the registration information 161 of the flash ROM 160c. In addition, the authentication unit 115c collates the temporary key 213 acquired in step S502 with information stored in the issued key storage unit 162 of the flash ROM 160c.

ステップS506において認証部115cは、認証情報211と、一時鍵213とが、共に登録済であるか否かを判定する。認証情報211が登録済であるか否かを判定する方法については、図3のステップS108で説明した通りである。認証部115cは、ステップS504における照合の結果、取得した一時鍵213が発行済鍵記憶部162に記憶されている情報と一致する場合、取得した一時鍵213は発行済鍵記憶部162に登録済であると判定する。一方、認証部115cは、ステップS504における照合の結果、取得した一時鍵213が発行済鍵記憶部162に記憶されている情報と一致しない場合、取得した一時鍵213は発行済鍵記憶部162に登録済でないと判定する。さらに、認証部115cは、認証情報211が登録情報161に登録済であり、かつ、一時鍵213が発行済鍵記憶部162に登録済である場合に限り、記憶媒体20cは正当であると判定し、他の場合は、記憶媒体20cは正当でないと判定する。なお、発行済鍵記憶部162において、複数の正当な記憶媒体20cに対応する複数の情報が記憶されている場合、ステップS506における一致の判定は一部一致でよい。   In step S506, the authentication unit 115c determines whether both the authentication information 211 and the temporary key 213 have been registered. The method for determining whether or not the authentication information 211 has been registered is as described in step S108 in FIG. If the acquired temporary key 213 matches the information stored in the issued key storage unit 162 as a result of the collation in step S504, the authentication unit 115c has registered the acquired temporary key 213 in the issued key storage unit 162. It is determined that On the other hand, if the acquired temporary key 213 does not match the information stored in the issued key storage unit 162 as a result of the collation in step S504, the authentication unit 115c stores the acquired temporary key 213 in the issued key storage unit 162. Judge that it is not registered. Furthermore, the authentication unit 115c determines that the storage medium 20c is valid only when the authentication information 211 has been registered in the registration information 161 and the temporary key 213 has been registered in the issued key storage unit 162. In other cases, it is determined that the storage medium 20c is not valid. When the issued key storage unit 162 stores a plurality of pieces of information corresponding to a plurality of legitimate storage media 20c, the match determination in step S506 may be partially matched.

認証情報211が登録情報161に登録済であり、かつ、一時鍵213が発行済鍵記憶部162に登録済である場合(ステップS506:YES)、認証部115cは、処理をステップS110に遷移させる。他の場合、認証部115cは処理をステップS502に遷移させる。   When the authentication information 211 has been registered in the registration information 161 and the temporary key 213 has been registered in the issued key storage unit 162 (step S506: YES), the authentication unit 115c causes the process to transition to step S110. . In other cases, the authentication unit 115c shifts the process to step S502.

以上のように、第4実施形態の来客者向け処理によれば、第1実施形態で説明した効果と同様の効果を得ることができる。さらに、第4実施形態の来客者向け処理によれば、認証部115cは、認証情報211と共に、一時鍵213を用いて記憶媒体20cの正当性を認証する。一時的にしか有効でない一時鍵213は、継続的に記憶媒体20cに記憶されている認証情報211と比較して、セキュリティ強度が高い。このような一時鍵213を用いて記憶媒体20cの正当性を認証することで、認証部115cは、認証の信頼性をより向上させることができる。この結果、AP10c(無線接続装置)におけるセキュリティをより向上させることができる。   As described above, according to the process for a visitor according to the fourth embodiment, the same effects as those described in the first embodiment can be obtained. Furthermore, according to the process for visitors of the fourth embodiment, the authentication unit 115c authenticates the validity of the storage medium 20c using the temporary key 213 together with the authentication information 211. The temporary key 213 that is valid only temporarily has higher security strength than the authentication information 211 continuously stored in the storage medium 20c. By authenticating the validity of the storage medium 20c using such a temporary key 213, the authentication unit 115c can further improve the reliability of authentication. As a result, the security in the AP 10c (wireless connection device) can be further improved.

E.第5実施形態:
本発明の第5実施形態では、記憶媒体が無線端末に内蔵されている構成を採用した場合の例について説明する。以下では、第1実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施形態と同様の構成部分については先に説明した第1実施形態と同様の符号を付し、その詳細な説明を省略する。 E. Fifth embodiment:
In the fifth embodiment of the present invention, an example in which a configuration in which a storage medium is built in a wireless terminal is employed will be described. Below, only the part which has a different structure and operation | movement from 1st Embodiment is demonstrated. In the figure, the same components as those of the first embodiment are denoted by the same reference numerals as those of the first embodiment described above, and detailed description thereof is omitted.

図13は、第5実施形態の無線接続装置を用いて、利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。図1に示した第1実施形態との違いは、無線端末として、パーソナルコンピュータ30に代えてスマートフォン70を備える点と、記憶媒体20を備えない点である。   FIG. 13 is an explanatory diagram illustrating a state in which a user connects to a visitor's wireless network using the wireless connection device of the fifth embodiment. The difference from the first embodiment shown in FIG. 1 is that a wireless terminal is provided with a smartphone 70 instead of the personal computer 30 and a storage medium 20 is not provided.

スマートフォン70には、NFCタグ210が内蔵されている。NFCタグ210の詳細は、第1実施形態の記憶媒体20に内蔵されているNFCタグ210と同様である(図2(B))。   The smartphone 70 has a built-in NFC tag 210. The details of the NFC tag 210 are the same as those of the NFC tag 210 built in the storage medium 20 of the first embodiment (FIG. 2B).

本実施形態のAP10の構成は、図2(A)に示した第1実施形態と同様であり、AP10によって実行される来客向け処理の内容は、図3に示した第1実施形態と同様である。このため、AP10の利用者は、自身が所持するスマートフォン70をAP10のNFCインタフェース120に近接させている間に限り、スマートフォン70を用いて、AP10の来客者向け無線ネットワークCNへ接続することができる。   The configuration of the AP 10 of this embodiment is the same as that of the first embodiment shown in FIG. 2A, and the contents of the process for the customer executed by the AP 10 are the same as those of the first embodiment shown in FIG. is there. For this reason, the user of the AP 10 can connect to the wireless network CN for the visitor of the AP 10 using the smartphone 70 only while the smartphone 70 owned by the AP 10 is in proximity to the NFC interface 120 of the AP 10. .

このように、第5実施形態の構成を採用した場合であっても、第1実施形態で説目した効果と同様の効果を得ることができる。また、本実施形態で説明したスマートフォン70を無線端末として使用する構成は、第1実施形態のみならず、第2〜第4実施形態においても同様に使用することができる。   Thus, even when the configuration of the fifth embodiment is adopted, the same effects as those explained in the first embodiment can be obtained. Moreover, the structure which uses the smart phone 70 demonstrated by this embodiment as a radio | wireless terminal can be similarly used not only in 1st Embodiment but in 2nd-4th Embodiment.

F.変形例:
上記実施形態において、ハードウェアによって実現されるとした構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されるとした構成の一部をハードウェアに置き換えるようにしてもよい。その他、以下のような変形も可能である。 F. Variations:
In the above embodiment, a part of the configuration realized by hardware may be replaced by software, and conversely, a part of the configuration realized by software may be replaced by hardware. Good. In addition, the following modifications are possible.

・変形例1:
上記実施形態では、無線接続装置と、記憶媒体と、の構成の一例を挙げた。しかし、上記実施形態における構成はあくまで一例であり、種々の変更が可能である。例えば、構成要素の一部を省略したり、更なる構成要素を付加したり、構成要素の一部を変更したりする変形が可能である。 ・ Modification 1:
In the above embodiment, an example of the configuration of the wireless connection device and the storage medium has been given. However, the structure in the said embodiment is an example to the last, and various changes are possible. For example, the deformation | transformation which abbreviate | omits a part of a component, adds a further component, or changes a part of a component is possible.

例えば、無線接続装置は、さらに、記憶媒体を保持するための保持部を備えていてもよい。保持部は、例えば、無線接続装置の筐体の外側であって、内蔵されているNFCインタフェースの近傍に設けられたポケット形状とすることができる。このようにすれば、利用者は、無線接続装置の来客者向け無線ネットワークを使用したい場合に、記憶媒体を無線接続装置の保持部(ポケット)に入れておくことができる。この結果、利用者における利便性を向上させることができる。   For example, the wireless connection device may further include a holding unit for holding the storage medium. For example, the holding unit may have a pocket shape provided outside the housing of the wireless connection device and in the vicinity of the built-in NFC interface. In this way, the user can put the storage medium in the holding unit (pocket) of the wireless connection device when he / she wants to use the wireless network for visitors of the wireless connection device. As a result, convenience for the user can be improved.

例えば、無線接続装置のゲスト用機能は、ゲスト端末から受信したパケットのフィルタリング以外の機能を有していてもよい。例えば、ゲスト用機能は、ゲスト端末に対するウィルススキャンを実施する機能を有していてもよい。また、ゲスト用機能は、ゲスト端末との間で送受信されるパケットのログを取得する機能を有していてもよい。このようにすれば、無線接続装置が提供する来客者向け無線ネットワークにおけるセキュリティをより向上させることができる。   For example, the guest function of the wireless connection device may have a function other than the filtering of packets received from the guest terminal. For example, the guest function may have a function of performing virus scanning on the guest terminal. Further, the guest function may have a function of acquiring a log of packets transmitted / received to / from the guest terminal. In this way, it is possible to further improve security in the wireless network for visitors provided by the wireless connection device.

例えば、無線接続装置は、NFCインタフェースに代えて、他の近距離無線通信インタフェース(具体的には、例えば、Bluetooth(登録商標)、TransferJET等)を備えていてもよい。この場合、記憶媒体の側にも無線接続装置と同様の近距離無線通信インタフェース(例えば、Bluetooth)を備える構成とする。さらに、無線接続装置と記憶媒体とのBluetoothペアリングは、事前に終了していることを前提とする。その上で、上記実施形態において、「NFCタグのタッチ検出」とした箇所を「Bluetoothを用いた接続の検出」と読み替えることができる。なお、Bluetoothに代えてTransferJETを使用した場合も同様である。   For example, the wireless connection device may include another short-range wireless communication interface (specifically, for example, Bluetooth (registered trademark), TransferJET, or the like) instead of the NFC interface. In this case, the storage medium side is also provided with a short-range wireless communication interface (for example, Bluetooth) similar to the wireless connection device. Furthermore, it is assumed that Bluetooth pairing between the wireless connection device and the storage medium has been completed in advance. In addition, in the above-described embodiment, the location “NFC tag touch detection” can be read as “connection detection using Bluetooth”. The same applies when TransferJET is used instead of Bluetooth.

例えば、第3実施形態の無線接続装置は、IPsecを用いて仮想プライベートネットワーク(VPN)を実現するとした。しかし、少なくとも2つの装置間のトンネリングを実施して仮想プライベートネットワークを実現可能な限りにおいて、IPsec以外の他のプロトコルを採用してもよい。例えば、L2TP(Layer 2 Tunneling Protocol )を採用してもよく、PPTP(Point to Point Tunneling Protocol)を採用してもよい。さらに、VPNにおいてカプセル化されたフレーム内のデータの暗号化は省略してもよい。   For example, the wireless connection device of the third embodiment is assumed to realize a virtual private network (VPN) using IPsec. However, a protocol other than IPsec may be adopted as long as tunneling between at least two devices can be implemented to realize a virtual private network. For example, L2TP (Layer 2 Tunneling Protocol) may be employed, or PPTP (Point to Point Tunneling Protocol) may be employed. Further, encryption of data in a frame encapsulated in VPN may be omitted.

例えば、無線接続装置において、フラッシュROMは異なる記憶媒体で構成されていてもよい。例えば、無線接続装置は、フラッシュROMに代えて、USBメモリやUSBハードディスク等の着脱可能な記憶媒体を備えていてもよい。また、例えば、上記実施形態においてフラッシュROMに記憶されると説明した情報は、複数の記憶媒体に分散されて記憶されていてもよい。   For example, in the wireless connection device, the flash ROM may be composed of different storage media. For example, the wireless connection device may include a removable storage medium such as a USB memory or a USB hard disk instead of the flash ROM. For example, the information described as being stored in the flash ROM in the above embodiment may be distributed and stored in a plurality of storage media.

・変形例2:
上記実施形態では、来客者向け処理および一時鍵発行処理の一例を示した。しかし、上記実施形態における処理の手順はあくまで一例であり、種々の変形が可能である。例えば、一部のステップを省略してもよいし、更なる他のステップを追加してもよい。また、実行されるステップの順序を変更してもよい。 Modification 2
In the said embodiment, an example of the process for visitors and the temporary key issue process was shown. However, the processing procedure in the above embodiment is merely an example, and various modifications are possible. For example, some steps may be omitted, and other steps may be added. Further, the order of the steps to be executed may be changed.

例えば、来客者向け処理のステップS106において認証部は、外部にある認証サーバに対してステップS104で取得した認証情報を送信し、認証サーバに記憶媒体の正当性を認証させて、その認証結果を取得してもよい。この場合、無線接続装置のフラッシュROM内の登録情報は省略可能である。なお、この際、認証サーバは「外部装置」として機能する。認証サーバは、無線接続装置と同一のLAN内に存在していてもよく、インターネット上に存在していてもよい。   For example, in step S106 of the process for the visitor, the authentication unit transmits the authentication information acquired in step S104 to the external authentication server, causes the authentication server to authenticate the validity of the storage medium, and displays the authentication result. You may get it. In this case, the registration information in the flash ROM of the wireless connection device can be omitted. At this time, the authentication server functions as an “external device”. The authentication server may exist in the same LAN as the wireless connection device, or may exist on the Internet.

例えば、来客者向け処理のステップS106の認証は、省略してもよい。また、例えば、来客者向け処理のステップS110およびS124は、省略してもよい。具体的には、例えば、無線接続装置がマルチSSID機能、すなわち、1つの物理的なアクセスポイントを、複数のSSIDを用いて複数の論理的なアクセスポイントとして動作させる機能に対応している場合、ステップS110およびS124を省略することで、ゲスト用SSID以外の他のSSIDを用いた無線通信を継続させることができる。   For example, the authentication in step S106 of the process for visitors may be omitted. Further, for example, steps S110 and S124 for the visitor process may be omitted. Specifically, for example, when the wireless connection device supports a multi-SSID function, that is, a function of operating one physical access point as a plurality of logical access points using a plurality of SSIDs, By omitting steps S110 and S124, wireless communication using an SSID other than the guest SSID can be continued.

例えば、第4実施形態の来客者向け処理のステップS502〜S506では、記憶媒体から取得した認証情報と一時鍵との両方を用いて記憶媒体の認証を行うこととしたが、認証情報を用いた認証は省略してもよい。この場合、無線接続装置のフラッシュROMに格納されているとした登録情報と、記憶媒体のNFCタグに記憶されているとした認証情報とは省略してもよい。   For example, in steps S502 to S506 of the process for visitors of the fourth embodiment, the authentication of the storage medium is performed using both the authentication information acquired from the storage medium and the temporary key, but the authentication information is used. Authentication may be omitted. In this case, the registration information that is stored in the flash ROM of the wireless connection device and the authentication information that is stored in the NFC tag of the storage medium may be omitted.

・変形例3:
上記実施形態では、無線接続装置に接続される無線端末の一例を挙げた。しかし、上記実施形態における無線端末はあくまで一例であり、種々の装置を使用することができる。例えば、携帯電話、PDA(Personal Digital Assistants)等のモバイル機器や、デジタルカメラ、プリンタ、ネットワークディスプレイ、スキャナ等の画像入出力機器や、オーディオ、テレビ等のAV機器や、冷蔵庫、空調機、テレビ等の家電製品や、NAS(Network Attached Storage)等を使用することができる。また、第5実施形態の例と同様に、上述の無線端末に記憶媒体(例えばNFCタグ)が内蔵されていてもよい。 ・ Modification 3:
In the above embodiment, an example of a wireless terminal connected to the wireless connection device has been described. However, the wireless terminal in the above embodiment is merely an example, and various devices can be used. For example, mobile devices such as mobile phones and PDAs (Personal Digital Assistants), image input / output devices such as digital cameras, printers, network displays, and scanners, AV devices such as audio and television, refrigerators, air conditioners, and televisions Home appliances, NAS (Network Attached Storage), etc. can be used. Similarly to the example of the fifth embodiment, a storage medium (for example, an NFC tag) may be incorporated in the above-described wireless terminal.

・変形例4:
本発明は、上述の実施形態や実施例、変形例に限られるものではなく、その趣旨を逸脱しない範囲において種々の構成で実現することができる。例えば、発明の概要の欄に記載した各形態中の技術的特徴に対応する実施形態、実施例、変形例中の技術的特徴は、上述の課題の一部または全部を解決するために、あるいは、上述の効果の一部または全部を達成するために、適宜、差し替えや組み合わせを行うことが可能である。また、その技術的特徴が本明細書中に必須なものとして説明されていなければ、適宜、削除することが可能である。 -Modification 4:
The present invention is not limited to the above-described embodiments, examples, and modifications, and can be realized with various configurations without departing from the spirit thereof. For example, the technical features in the embodiments, examples, and modifications corresponding to the technical features in each embodiment described in the summary section of the invention are to solve some or all of the above-described problems, or In order to achieve part or all of the above-described effects, replacement or combination can be performed as appropriate. Further, if the technical feature is not described as essential in the present specification, it can be deleted as appropriate.

10…無線接続装置、20、20a〜c…記憶媒体、30…パーソナルコンピュータ、40…ネットワーク装置、50…ルータ、60…サーバ、70…スマートフォン、110、110a〜c…CPU、111…中継処理部、112…ゲスト用機能、113、113c…取得部、114、114a〜c…限定接続部、115、115c…認証部、116…仮想化要求部、140…無線通信インタフェース、150…有線通信インタフェース、161…登録情報、162…発行済鍵記憶部、211…認証情報、212、212a、b…接続情報、213…一時鍵、CN…来客者向け無線ネットワーク、TN…通信路、INT…インターネット     DESCRIPTION OF SYMBOLS 10 ... Wireless connection apparatus 20, 20a-c ... Storage medium, 30 ... Personal computer, 40 ... Network apparatus, 50 ... Router, 60 ... Server, 70 ... Smartphone, 110, 110a-c ... CPU, 111 ... Relay processing part 112, 113c, guest function, 113, 113c, acquisition unit, 114, 114a to c, limited connection unit, 115, 115c, authentication unit, 116, virtualization request unit, 140, wireless communication interface, 150, wired communication interface, 161: Registration information, 162: Issued key storage unit, 211: Authentication information, 212, 212a, b ... Connection information, 213 ... Temporary key, CN ... Wireless network for visitors, TN ... Communication channel, INT ... Internet

Claims (11)

無線接続装置であって、
NFCインタフェースによって、NFCに基づき情報を読み出し可能なICチップを搭載した記憶媒体の前記無線接続装置への近接を検出する検出部と、
前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、無線端末の接続を可能とする限定接続部と、
を備え
前記複数のネットワークは、それぞれ異なるSSIDを用いた無線ネットワークである、
無線接続装置。 A wireless connection device,
A detection unit for detecting the proximity of the storage medium mounted with an IC chip capable of reading information based on NFC to the wireless connection device by an NFC interface;
A limitation that allows a wireless terminal to connect to a visitor wireless network that is a wireless network isolated from other networks among a plurality of networks provided by the wireless connection device while detecting the proximity. A connection,
Equipped with a,
The plurality of networks are wireless networks using different SSIDs.
Wireless connection device. 請求項1に記載の無線接続装置であって、さらに、
前記NFCインタフェースによって、前記記憶媒体から前記情報のうちの認証情報を取得する取得部を備え、
前記検出部は、前記取得部による前記認証情報の取得が可能な場合に、前記無線接続装置と前記記憶媒体とが近接していると判定する、無線接続装置。 The wireless connection device according to claim 1, further comprising:
An acquisition unit for acquiring authentication information of the information from the storage medium by the NFC interface;
The detection unit is a wireless connection device that determines that the wireless connection device and the storage medium are close to each other when the authentication information can be acquired by the acquisition unit. 請求項2に記載の無線接続装置であって、さらに、
取得した前記認証情報を用いて、前記記憶媒体の正当性を認証する認証部を備える、無線接続装置。 The wireless connection device according to claim 2, further comprising:
A wireless connection device comprising: an authentication unit that authenticates the validity of the storage medium using the acquired authentication information. 請求項2に記載の無線接続装置であって、さらに、
取得した前記認証情報を外部装置へ送信し、前記記憶媒体の正当性の認証結果を前記外部装置から取得する認証部を備える、無線接続装置。 The wireless connection device according to claim 2, further comprising:
A wireless connection device comprising: an authentication unit that transmits the acquired authentication information to an external device and acquires an authentication result of validity of the storage medium from the external device. 請求項3または請求項4に記載の無線接続装置であって、
前記認証部は、さらに、一時的に有効な一時鍵を生成し、前記生成した一時鍵を前記NFCインタフェースによって前記記憶媒体に記憶させる、無線接続装置。 The wireless connection device according to claim 3 or 4, wherein
The authentication unit further generates a temporary key that is temporarily valid, and stores the generated temporary key in the storage medium by the NFC interface. 請求項5に記載の無線接続装置であって、
前記取得部は、前記記憶媒体に記憶されている前記一時鍵を取得し、
前記認証部は、前記認証情報に代えて、または、前記認証情報と共に、前記一時鍵を用いて前記記憶媒体の正当性を認証する、無線接続装置。 The wireless connection device according to claim 5,
The acquisition unit acquires the temporary key stored in the storage medium;
The authentication unit authenticates the validity of the storage medium using the temporary key instead of the authentication information or together with the authentication information. 請求項1から請求項6のいずれか一項に記載の無線接続装置であって、
前記限定接続部は、さらに、前記来客者向け無線ネットワークへ接続している前記無線端末から、前記他のネットワークへの通信を制限することで、前記無線端末による通信先をインターネットに限定する、無線接続装置。 The wireless connection device according to any one of claims 1 to 6,
The limited connection unit further restricts communication from the wireless terminal connected to the customer-facing wireless network to the other network, thereby limiting a communication destination of the wireless terminal to the Internet. Connected device. 請求項1から請求項7のいずれか一項に記載の無線接続装置であって、
前記限定接続部は、さらに、前記無線接続装置とインターネットとの間にネットワーク装置がある場合に、前記ネットワーク装置に対して、前記無線接続装置を介した前記来客者向け無線ネットワークへの接続を許可させる、無線接続装置。 The wireless connection device according to any one of claims 1 to 7,
The limited connection unit further permits the network device to connect to the visitor wireless network via the wireless connection device when there is a network device between the wireless connection device and the Internet. Let the wireless connection device. 請求項8に記載の無線接続装置であって、さらに、
前記ネットワーク装置に対して、仮想プライベートネットワークを用いた通信路の確立を要求する仮想化要求部を備える、無線接続装置。 The wireless connection device according to claim 8, further comprising:
A wireless connection device comprising: a virtualization requesting unit that requests the network device to establish a communication path using a virtual private network. 無線接続装置を制御するための方法であって、
NFCインタフェースによって、NFCに基づき情報を読み出し可能なICチップを搭載した記憶媒体の前記無線接続装置への近接を検出する工程と、
前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、無線端末の接続を可能とする工程と、
を備え、
前記複数のネットワークは、それぞれ異なるSSIDを用いた無線ネットワークである、
方法。 A method for controlling a wireless connection device, comprising:
Detecting the proximity of the storage medium equipped with an IC chip capable of reading information based on NFC to the wireless connection device by an NFC interface;
A step of enabling connection of a wireless terminal to a visitor's wireless network that is a wireless network isolated from other networks among a plurality of networks provided by the wireless connection device while detecting the proximity. When,
With
The plurality of networks are wireless networks using different SSIDs.
Method. ネットワークシステムであって、
無線接続装置と、
NFCに基づき情報を読み出し可能なICチップを搭載し、前記情報として認証情報が予め記憶されている記憶媒体を備える無線端末と、
を備え、
前記無線接続装置は、
NFCインタフェースによって、前記無線接続装置に対する前記記憶媒体の近接を検出する検出部と、
前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、前記無線端末の接続を可能とする限定接続部と、
を備え
前記複数のネットワークは、それぞれ異なるSSIDを用いた無線ネットワークである、
ネットワークシステム。 A network system,
A wireless connection device;
A wireless terminal equipped with an IC chip capable of reading information based on NFC, and provided with a storage medium in which authentication information is stored in advance as the information;
With
The wireless connection device is:
A detection unit for detecting proximity of the storage medium to the wireless connection device by an NFC interface;
While detecting the proximity, the wireless terminal can be connected to a wireless network for a visitor that is a wireless network isolated from other networks among a plurality of networks provided by the wireless connection device. A limited connection,
Equipped with a,
The plurality of networks are wireless networks using different SSIDs.
Network system.
JP2014009308A 2014-01-22 2014-01-22 Wireless connection apparatus, method for controlling wireless connection apparatus, and network system Active JP6318640B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014009308A JP6318640B2 (en) 2014-01-22 2014-01-22 Wireless connection apparatus, method for controlling wireless connection apparatus, and network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014009308A JP6318640B2 (en) 2014-01-22 2014-01-22 Wireless connection apparatus, method for controlling wireless connection apparatus, and network system

Publications (3)

Publication Number Publication Date
JP2015139090A JP2015139090A (en) 2015-07-30
JP2015139090A5 JP2015139090A5 (en) 2016-12-01
JP6318640B2 true JP6318640B2 (en) 2018-05-09

Family

ID=53769831

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014009308A Active JP6318640B2 (en) 2014-01-22 2014-01-22 Wireless connection apparatus, method for controlling wireless connection apparatus, and network system

Country Status (1)

Country Link
JP (1) JP6318640B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6615037B2 (en) * 2016-04-01 2019-12-04 株式会社エネルギア・コミュニケーションズ Network system and connection method thereof
JP6938994B2 (en) * 2017-03-21 2021-09-22 富士フイルムビジネスイノベーション株式会社 Wireless network equipment, image forming equipment, wireless network systems and programs

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4941087B2 (en) * 2007-05-14 2012-05-30 ソニー株式会社 Wireless communication terminal
JP2009147517A (en) * 2007-12-12 2009-07-02 Sharp Corp Communication terminal apparatus, data repeating apparatus, cellular phone, communication system, method for controlling communication terminal apparatus, method for controlling data repeating apparatus, communication terminal apparatus control program, data repeating apparatus control program, and computer readable recording medium with the program recorded
JP2009253429A (en) * 2008-04-02 2009-10-29 Funai Electric Co Ltd Access point and wireless communication system equipped with the same
JP5853478B2 (en) * 2011-08-04 2016-02-09 株式会社バッファロー Access point device and communication setting providing method
JP5799668B2 (en) * 2011-08-25 2015-10-28 株式会社バッファロー Communication apparatus, communication system, and communication setting information sharing method
JP2013247614A (en) * 2012-05-29 2013-12-09 Sony Corp Communication device, authentication server and communication system

Also Published As

Publication number Publication date
JP2015139090A (en) 2015-07-30

Similar Documents

Publication Publication Date Title
US9678693B2 (en) Method of setting wireless connection via near field communication function and image forming apparatus for performing the method
US20150172925A1 (en) Method and Apparatus for Wireless Network Access Parameter Sharing
US9762567B2 (en) Wireless communication of a user identifier and encrypted time-sensitive data
US20150139210A1 (en) Method and apparatus for access parameter sharing
US20150085848A1 (en) Method and Apparatus for Controlling Wireless Network Access Parameter Sharing
US20140127994A1 (en) Policy-based resource access via nfc
CN104982053B (en) For obtaining the method and network node of the permanent identity of certification wireless device
CN111683054A (en) Method and apparatus for remote access
US10362608B2 (en) Managing wireless client connections via near field communication
CN113132091B (en) Method for sharing equipment and electronic equipment
TWI462604B (en) Wireless network client-authentication system and wireless network connection method thereof
US20170054727A1 (en) Information processing apparatus, recording medium, and communication controlling method
CN105325021B (en) Method and apparatus for remote portable wireless device authentication
US11888852B2 (en) Access management system and access management method
CN103259711B (en) communication information transmission method and system
US9590974B2 (en) Communication apparatus, communication system, and recording medium
JP6318640B2 (en) Wireless connection apparatus, method for controlling wireless connection apparatus, and network system
JP6290044B2 (en) Authentication system, authentication server, client device, and authentication method
JP2010124161A (en) Communication system, communication device, information processing method and information processing program
JP6665782B2 (en) Wireless communication device, wireless communication system, wireless communication method, and program
JP5388088B2 (en) Communication terminal device, management device, communication method, management method, and computer program.
US9667652B2 (en) Mobile remote access
US20180332525A1 (en) Secure hotspot setup
WO2017121159A1 (en) Authentication method and system for accessing home gateway in wpa /wpa2 authentication mode
TWI309934B (en)

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20160530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161018

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161018

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170808

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171003

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180306

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180319

R150 Certificate of patent or registration of utility model

Ref document number: 6318640

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250