JP2009033585A - Wireless lan terminal connection method, and wireless lan system using the same - Google Patents

Wireless lan terminal connection method, and wireless lan system using the same Download PDF

Info

Publication number
JP2009033585A
JP2009033585A JP2007196913A JP2007196913A JP2009033585A JP 2009033585 A JP2009033585 A JP 2009033585A JP 2007196913 A JP2007196913 A JP 2007196913A JP 2007196913 A JP2007196913 A JP 2007196913A JP 2009033585 A JP2009033585 A JP 2009033585A
Authority
JP
Japan
Prior art keywords
wireless lan
access point
lan terminal
essid
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007196913A
Other languages
Japanese (ja)
Other versions
JP4506999B2 (en
Inventor
Kyattishai Saowapa
キャッティシャイ サオワパー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Infrontia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Infrontia Corp filed Critical NEC Infrontia Corp
Priority to JP2007196913A priority Critical patent/JP4506999B2/en
Publication of JP2009033585A publication Critical patent/JP2009033585A/en
Application granted granted Critical
Publication of JP4506999B2 publication Critical patent/JP4506999B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent theft of ESSID from packet data transmitted/received through a wireless channel, and a malicious use thereof. <P>SOLUTION: When a wireless LAN terminal 10 communicates with an access point (AP) 20, using public keys 19, 27 being added in advance and respectively retained therein and secret keys 18, 28 generated when necessary as encryption keys, a network name (ESSID), assigned to the access point (AP) 20 of a wireless LAN 100 and inserted into the transmitted/received packet data, is encrypted. The secret key 18 of the wireless LAN terminal 10 is generated using a random number. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、無線LAN端末で接続する無線LANのネットワーク名を他人に盗まれることなく無線通信路を安全に接続する方法およびその方法を用いた無線LANシステムに関するものである。   The present invention relates to a method for securely connecting a wireless communication path without being stolen by a wireless LAN network name connected by a wireless LAN terminal, and a wireless LAN system using the method.

従来の無線LANシステムでは、IEEEにおける無線LAN標準として規定される「IEEE 802.11a,…11i,…」などのIEEE規格群がある。それによれば、無線LANのアクセスポイント(以後、APと略称することがある。)がネットワーク名をビーコン(Beacon)パケットに格納しそのビーコンパケットをブロードキャストすることによって周辺の無線LAN端末に通知している。一つの無線ネットワークと接続する無線端末では同一のネットワーク名が使用され、アクセスポイントを含むネットワークの識別のためにはESSID(Extended Service Set Identifier)が使用される。すなわち、無線LAN端末は、アクセスポイントのビーコンを受信してネットワーク名を抽出することで、自分が接続したいネットワークと同じネットワーク名を有するアクセスポイントに接続を要求しその接続を確立する(例えば、非特許文献1および特許文献1参照。)。   In a conventional wireless LAN system, there are IEEE standard groups such as “IEEE 802.11a,... 11i,...” Defined as a wireless LAN standard in IEEE. According to this, a wireless LAN access point (hereinafter sometimes abbreviated as AP) stores a network name in a beacon packet and broadcasts the beacon packet to notify neighboring wireless LAN terminals. Yes. Wireless terminals connected to one wireless network use the same network name, and an ESSID (Extended Service Set Identifier) is used to identify a network including an access point. That is, the wireless LAN terminal receives the beacon of the access point and extracts the network name, thereby requesting a connection to the access point having the same network name as the network to which the wireless LAN terminal wants to connect and establishing the connection (for example, (See Patent Literature 1 and Patent Literature 1.)

一方、無線LANにおけるセキュリティを確保するためには、送信内容を暗号化する暗号鍵を利用する方式などがあるが、無線LAN端末が無線通信を行う際に、第三者の成りすましを防止するため、アクセスポイントが無線端末からセキュリティ設定処理の開始指示を受付ける前にセキュリティ処理の開始を示す開始指示データを受付けしていない場合にのみ、セキュリティ設定処理を実行するというシステムがある(例えば、特許文献2参照。)。   On the other hand, in order to ensure security in the wireless LAN, there is a method of using an encryption key for encrypting transmission contents, but in order to prevent spoofing of a third party when the wireless LAN terminal performs wireless communication. There is a system in which the security setting process is executed only when the access point has not received start instruction data indicating the start of the security process before receiving an instruction to start the security setting process from the wireless terminal (for example, Patent Literature 1). 2).

しかしながら、従来のこれらシステムにおいて、通常はネットワーク名が無線LAN上にそのまま放送されるため、第三者に簡単に知られてしまうので、それを悪用される可能性がある。ネットワーク名は重要ではないように見られるが、特にVPN(Virtual Private Network)での無線LANネットワーク名は企業の部門名または開発プロジェクトの名称などのような意味ある言葉が一般的に多く使われるため、このような情報が悪用されることは否定できない。   However, in these conventional systems, since the network name is normally broadcast as it is on the wireless LAN, it is easily known by a third party, so that it may be abused. Network names seem to be unimportant, but in particular, wireless LAN network names in VPN (Virtual Private Network) are often used with meaningful words such as company department names or development project names. It cannot be denied that such information is misused.

例えば、組織内にある複数の無線LANのネットワーク名すなわち上述したESSIDから、組織構成を知ることができる。また、無線LANプロトコルアナライザなどを利用することにより、無線LANのトラフィック量などが簡単に計測できるため、トラフィック量とネットワーク名またはESSIDとを利用して企業の活動などが推測可能である。また、同じネットワーク名またはESSIDを持つアクセスポイントを近くに設置して、通信妨害および成りすましが可能である。   For example, the organization configuration can be known from the names of a plurality of wireless LANs in the organization, that is, the above-described ESSID. In addition, since the wireless LAN traffic volume and the like can be easily measured by using a wireless LAN protocol analyzer or the like, it is possible to estimate the activity of the company by using the traffic volume and the network name or ESSID. Further, it is possible to set up an access point having the same network name or ESSID in the vicinity to obstruct communication and impersonate.

ESSIDは、アクセスポイントから送信されるビーコンに格納しないようなシステムもあるが、無線LAN端末とアクセスポイントとの間で送受信する種々の要求パケットおよびその応答パケットに含まれており、その抽出は無線LANプロトコルアナライザなどにより容易に可能である。例えば、一つのアクセスポイントに成りすまして通信中の無線LAN端末にデオーセンティケーション(De-authentication)パケットを送信した場合、無線LAN端末から再アソシエーションが実行されるので、その結果、容易にESSIDを知ることができるからである。   In some systems, ESSID is not stored in a beacon transmitted from an access point, but is included in various request packets and response packets transmitted and received between the wireless LAN terminal and the access point. This can be easily done with a LAN protocol analyzer or the like. For example, when a de-authentication packet is transmitted to a wireless LAN terminal that is communicating while impersonating a single access point, reassociation is executed from the wireless LAN terminal. Because you can know.

Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, ANSI/IEEE Std. 802.11,1999 EditionWireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, ANSI / IEEE Std. 802.11, 1999 Edition 特開2003−204335号公報JP 2003-204335 A 特開2007−013348号公報JP 2007-013348 A

解決しようとする課題は、無線LAN端末が通信するアクセスポイントとの間で送受信する各種の要求パケットおよび応答パケットに含まれるネットワーク名としてのESSIDが第三者により容易に盗まれる可能性が高いことである。特に企業内ネットワークでは組織内にある複数の無線LANのネットワーク名(ESSID)から、組織構成を知ることにより企業の活動などが推測可能であり、更に、通信妨害などという、盗まれたESSIDによる悪用に対して防止が困難なことである。   The problem to be solved is that ESSID as a network name included in various request packets and response packets transmitted / received to / from an access point with which a wireless LAN terminal communicates is likely to be easily stolen by a third party. It is. Especially in the corporate network, it is possible to guess the corporate activity from the network name (ESSID) of multiple wireless LANs in the organization by knowing the organization configuration, and further misuse by stolen ESSID such as communication interference Is difficult to prevent.

本発明は、無線回線で送受信するパケットデータからESSIDを盗難されて悪用されることを防止することを目的とする。そのため、無線LAN端末およびアクセスポイントに予め暗号鍵を保有している。そして、前記無線LAN端末と前記アクセスポイントとの間の通信路を形成する際に、その暗号鍵を用いて、無線LANのアクセスポイントに付与されかつ送受信するパケットデータに挿入されるネットワーク名すなわちESSIDを、暗号化することを主要な特徴とする。したがって、受信側では受信した暗号化されたESSIDを暗号鍵で復号する。   An object of the present invention is to prevent an ESSID from being stolen from packet data transmitted and received over a wireless line and misused. Therefore, the wireless LAN terminal and the access point have an encryption key in advance. Then, when the communication path between the wireless LAN terminal and the access point is formed, the network name, that is, ESSID, which is assigned to the wireless LAN access point and inserted into the packet data to be transmitted / received using the encryption key The main feature is encryption. Therefore, the receiving side decrypts the received encrypted ESSID with the encryption key.

暗号化技術には上述した「IEEE 802.11」シリーズで規定されたものなどがある。   Encryption techniques include those defined in the “IEEE 802.11” series described above.

本発明では、無線LAN端末およびそのアクセスポイントそれぞれで暗号鍵として予め付与された公開鍵および必要の都度生成する秘密鍵を保持し、その公開鍵および秘密鍵によりESSIDを暗号化しかつそれを復号する。その秘密鍵は、無線LAN端末で乱数を用いて生成することが望ましい。   In the present invention, a public key previously assigned as an encryption key in each of the wireless LAN terminal and its access point and a secret key generated whenever necessary are held, and the ESSID is encrypted and decrypted with the public key and the secret key. . The secret key is preferably generated using a random number at the wireless LAN terminal.

本発明の無線LAN端末接続方法およびその方法を用いた無線LANシステムは、送信パケットに挿入されるESSIDを暗号化し受信側で復号するため、第三者が一つのパケットのみを傍受してデータを盗難しても、そこに含まれるESSIDは暗号化されているので、ESSIDによる悪用を防止することができる。また、暗号化には、公開鍵および秘密鍵が用いられ、特に秘密鍵にその都度発生させる乱数を使用する場合、ESSIDの盗難に対する保護が更に強化できる。   The wireless LAN terminal connection method of the present invention and the wireless LAN system using the method encrypt the ESSID inserted in the transmission packet and decrypt it on the receiving side, so that a third party intercepts only one packet and receives the data. Even if it is stolen, the ESSID contained therein is encrypted, so that misuse by the ESSID can be prevented. In addition, a public key and a secret key are used for encryption, and particularly when a random number generated each time is used for the secret key, protection against theft of the ESSID can be further strengthened.

無線LAN端末がアクセスポイント(以後、APと略称することがある。)と通信する際に送受信するパケットデータから通信するネットワーク名であるESSIDを盗まれて悪用されることを防止するという目的を、送信パケットに挿入されるESSIDを暗号鍵で暗号化する一方、受信側で受信したESSIDを暗号鍵で復号することにより、高い確実性をもって実現した。   The purpose of preventing an ESSID, which is a network name for communication, from being stolen from a packet data transmitted / received when a wireless LAN terminal communicates with an access point (hereinafter may be abbreviated as AP), The ESSID inserted in the transmission packet is encrypted with the encryption key, while the ESSID received on the receiving side is decrypted with the encryption key, thereby realizing high reliability.

以降に、図面を参照して実施例を説明するが、図示されるものは本発明に係る主要部分であり、必須機能であっても省略された部分がある。IEEE規格による英文表記の用語は図面表記のため和文の短縮用語を定義して用いている。また、図示された機能ブロックの分離併合、および動作手順の前後入替えなどは、特許請求の範囲を含む本発明の趣旨を満たすものであれば自由であり、下記説明が本発明を限定するものではない。   Hereinafter, embodiments will be described with reference to the drawings. However, what is shown is a main part according to the present invention, and there are parts that are omitted even if they are essential functions. English terminology according to the IEEE standard is defined by using Japanese abbreviated terms for drawing notation. In addition, the separation and merging of the functional blocks shown in the figure and the front / rear replacement of the operation procedure are free as long as they satisfy the gist of the present invention including the claims, and the following description does not limit the present invention. Absent.

図1は、無線LAN端末10がアクセスポイント(AP)20を介して無線LAN100と連結し通信する状態を示す。無線LAN端末10は、移動した際、同一ESSIDでのよりよい通信条件のAP20Aに接続をハンドオーバ(切替え)可能である。   FIG. 1 shows a state in which a wireless LAN terminal 10 is connected to and communicates with a wireless LAN 100 via an access point (AP) 20. When the wireless LAN terminal 10 moves, the connection can be handed over (switched) to the AP 20A with better communication conditions with the same ESSID.

本発明の実施例1について図1から図7までを参照して説明する。   A first embodiment of the present invention will be described with reference to FIGS.

図2は、本発明の一実施例をブロックで示す説明図であって、図1において通信する無線LAN端末10およびAP20の詳細を示す。無線LAN端末10は、無線送受信部11、AD変換部12、MACデータ処理部13、暗号化復号化部14、暗号鍵用メモリ15、上位層プロトコル処理部16、およびAP公開鍵メモリ17、を有し、暗号鍵用メモリ15は秘密鍵18および公開鍵19を記憶する。AP20は、無線送受信部21、AD変換部22、MACデータ処理部23、暗号化復号化部24、暗号鍵用メモリ25、および上位層プロトコル処理部26を有し、暗号鍵用メモリ25は公開鍵27および秘密鍵28を記憶する。   FIG. 2 is an explanatory diagram showing, in block form, one embodiment of the present invention, and shows details of the wireless LAN terminal 10 and AP 20 that communicate in FIG. The wireless LAN terminal 10 includes a wireless transmission / reception unit 11, an AD conversion unit 12, a MAC data processing unit 13, an encryption / decryption unit 14, an encryption key memory 15, an upper layer protocol processing unit 16, and an AP public key memory 17. The encryption key memory 15 stores a secret key 18 and a public key 19. The AP 20 includes a wireless transmission / reception unit 21, an AD conversion unit 22, a MAC data processing unit 23, an encryption / decryption unit 24, an encryption key memory 25, and an upper layer protocol processing unit 26. The encryption key memory 25 is open to the public. A key 27 and a secret key 28 are stored.

無線送受信部11,21は、無線LAN端末10とAP20との間で変調されたアナログ信号を所定の電波により送受信する。AD変換部12,22は、無線送受信部11,21で受けたアナログ信号をディジタル信号に変換してMACデータ処理部13,23へ送出する一方、MACデータ処理部13,23から受けたディジタル信号をアナログ信号に変換して無線送受信部11,21へ送出する。MACデータ処理部13,23は、OSI参照モデルにおけるLANのフレーム構造およびアクセス手法を規定するMAC層(Media Access Control layer)におけるデータパケットの構成処理を行うもので、AD変換部12,22と上位層プロトコル処理部16,26との間に接続される。   The wireless transmission / reception units 11 and 21 transmit and receive analog signals modulated between the wireless LAN terminal 10 and the AP 20 using predetermined radio waves. The AD conversion units 12 and 22 convert the analog signals received by the wireless transmission / reception units 11 and 21 into digital signals and send them to the MAC data processing units 13 and 23, while the digital signals received from the MAC data processing units 13 and 23 Is converted into an analog signal and transmitted to the wireless transmission / reception units 11 and 21. The MAC data processing units 13 and 23 perform data packet configuration processing in a MAC layer (Media Access Control layer) that defines the LAN frame structure and access method in the OSI reference model. The layer protocol processing units 16 and 26 are connected.

また、MACデータ処理部13,23は、暗号化復号化部14,24および暗号鍵用メモリ15,25と接続し、暗号化復号化部14,24が「ESSID」の暗号化およびその復号を実行してその読取りを処理する。暗号鍵用メモリ15,25は、通信相手に送る公開鍵19,27を予め保持して提供するとともに、暗号化復号化部14,24に暗号化または復号のために秘密鍵18,28を提供する。上位層プロトコル処理部16,26は、MAC層より上位層にあたるプロトコルに準じてデータを処理する。AP公開鍵メモリ17は、通信する際に接続したAP20から受けた公開鍵を保持する。   The MAC data processing units 13 and 23 are connected to the encryption / decryption units 14 and 24 and the encryption key memories 15 and 25, and the encryption / decryption units 14 and 24 encrypt and decrypt the “ESSID”. Run to process the reading. The encryption key memories 15 and 25 hold the public keys 19 and 27 to be sent to the communication partner in advance, and provide the encryption and decryption units 14 and 24 with the secret keys 18 and 28 for encryption or decryption. To do. The upper layer protocol processing units 16 and 26 process data according to a protocol corresponding to an upper layer than the MAC layer. The AP public key memory 17 holds the public key received from the AP 20 connected during communication.

本発明による特徴は、暗号化復号化部14,24、暗号鍵用メモリ15,25、およびAP公開鍵メモリ17にあり、他の構成要素を一般的な通常のデバイスにより構成する。   The feature of the present invention resides in the encryption / decryption units 14 and 24, the encryption key memories 15 and 25, and the AP public key memory 17, and other components are configured by a general ordinary device.

すなわち、無線LAN端末10の暗号化復号化部14は、AP公開鍵用メモリ17に保管されている公開鍵を使用してESSIDを暗号化する機能、AP20から受信した暗号化データを無線LAN端末10の秘密鍵18で復号してESSIDを読み取る機能、および秘密鍵18となる乱数「RAND」を必要の都度生成する機能を有する。暗号鍵用メモリ15は、自己に付与された端末公開鍵19「PLK」と暗号化復号化部14でその都度生成される秘密鍵18とを記録する。 That is, the encryption / decryption unit 14 of the wireless LAN terminal 10 encrypts the ESSID using the public key stored in the AP public key memory 17, and the encrypted data received from the AP 20 is the wireless LAN terminal. A function of decrypting with ten secret keys 18 to read the ESSID, and a function of generating a random number “RAND” to be the secret key 18 whenever necessary. The encryption key memory 15 records the terminal public key 19 “PLK C ” given to itself and the secret key 18 generated each time by the encryption / decryption unit 14.

一方、AP20の暗号化復号化部24は、無線LAN端末10から受信した端末の公開鍵を使用してESSIDを暗号化する機能、無線LAN端末10から受信した暗号化データをAP20の秘密鍵28で復号してESSIDを読み取る機能、および秘密鍵28となる乱数「RAND」を必要の際に生成する機能を有する。暗号鍵用メモリ25は、自己に付与されたAP公開鍵27「PLK」を記録すると共に、秘密鍵28として、その都度無線LAN端末10で生成され送信される乱数「RAND」を受付けし記録する。 On the other hand, the encryption / decryption unit 24 of the AP 20 encrypts the ESSID using the public key of the terminal received from the wireless LAN terminal 10, and the encrypted data received from the wireless LAN terminal 10 is converted into the secret key 28 of the AP 20. And the function of reading the ESSID and generating the random number “RAND” as the secret key 28 when necessary. The encryption key memory 25 records the AP public key 27 “PLK A ” assigned to itself, and accepts and records the random number “RAND” generated and transmitted by the wireless LAN terminal 10 each time as the secret key 28. To do.

次に、図3に図4から図7まで及び図2を併せ参照して無線LAN端末10がアクセスポイント(AP)20と接続する手順について説明する。   Next, a procedure for connecting the wireless LAN terminal 10 to the access point (AP) 20 will be described with reference to FIGS. 4 to 7 and FIG.

まず、無線LAN端末10は、AP20との通信路が確立する以前では、固定するAP20の公開鍵をまだ取得していない。したがって、通信開始に際して、無線LAN端末10は、プローブ要求(Prove Request)(以後、探査要求と短縮呼称することとする。)をブロードキャスト(以後、放送と短縮呼称することとする。)(手順S1)する。したがって、近接するAP20がこの探査要求を受け、この探査要求に対するプローブ応答(Prove Response)(以後、探査応答と短縮呼称することとする。)をその探査要求の発信元に返送(手順S2)する。   First, the wireless LAN terminal 10 has not yet acquired the public key of the AP 20 to be fixed before the communication path with the AP 20 is established. Therefore, at the start of communication, the wireless LAN terminal 10 broadcasts a probe request (hereinafter referred to as a search request and abbreviated call) (hereinafter referred to as broadcast and abbreviated call) (step S1). ) Therefore, the adjacent AP 20 receives this search request, and returns a probe response (Prove Response) to the search request (hereinafter referred to as a search response for short) to the source of the search request (step S2). .

図4は、無線LAN端末10からAP20へ送出する探査要求(プローブ要求:Prove Request)の一実施例をフォーマットで示す。図示される探査要求は、IEEE802.11規格群に準じたデータに、無線LAN端末10の端末公開鍵PLKを端末公開鍵情報とし、またこの際に無線LAN端末10で発生する第1の乱数RANDを端末乱数情報とした二つの情報要素を追加している。乱数RANDは発生した際に暗号鍵用メモリ15の秘密鍵18として記録される。 FIG. 4 shows an example of a search request (probe request) sent from the wireless LAN terminal 10 to the AP 20 in a format. The search request shown in the figure includes, as data conforming to the IEEE 802.11 standard group, the terminal public key PLK C of the wireless LAN terminal 10 as terminal public key information, and a first random number generated at the wireless LAN terminal 10 at this time. Two information elements having RAND A as terminal random number information are added. The random number RAND A is recorded as the secret key 18 of the encryption key memory 15 when it is generated.

すなわち、無線LAN端末10では、通信開始に際し上記手順S1として、MACデータ処理部13が、暗号鍵用メモリ15の端末公開鍵PLKと暗号化復号化部14で生成する乱数RANDとを含む探査要求(Probe Request[PLK,RAND])を作成して放送する。その結果、この探査要求を受けたAP20は、上記手順S2として、探査応答を返送する。 That is, in the wireless LAN terminal 10, the MAC data processing unit 13 includes the terminal public key PLK C of the encryption key memory 15 and the random number RAND A generated by the encryption / decryption unit 14 as the procedure S 1 at the start of communication. Create a probe request (Probe Request [PLK C , RAND A ]) and broadcast it. As a result, the AP 20 that has received this search request returns a search response as the procedure S2.

図5は、AP20から無線LAN端末10へ返送する探査応答(プローブ応答:Prove Response)の一実施例をフォーマットで示す。図示される探査応答は、IEEE802.11規格群に準じたデータに、二つの情報要素を追加して形成される。一つは、AP20の公開鍵PLKをAP公開鍵情報としている。二つ目の情報要素は、そのAP20のESSIDと受けた探査要求に含まれる乱数RANDとの排他的論理和を端末側公開鍵PLKで暗号化して得たESSIDの暗号化データである。したがって、図示されるような探査応答(Probe Response) [PLK,PLK(ESSID,RAND)]が作成される。 FIG. 5 shows an example of a search response (probe response) returned from the AP 20 to the wireless LAN terminal 10 in a format. The search response shown in the figure is formed by adding two information elements to data conforming to the IEEE 802.11 standard group. One uses AP20 public key PLK A as AP public key information. The second information element is ESSID encrypted data obtained by encrypting the exclusive OR of the ESSID of the AP 20 and the random number RAND A included in the received search request with the terminal-side public key PLK C. Therefore, a probe response [PLK A , PLK C (ESSID, RAND A )] as shown is created.

AP20は、複数のESSIDを有する場合、それぞれのESSIDについて情報要素「PLK(ESSID,RAND)」を求めそれを探査応答に追加して無線LAN端末10に送出する。 When the AP 20 has a plurality of ESSIDs, the AP 20 obtains an information element “PLK C (ESSID, RAND A )” for each ESSID, adds it to the search response, and sends it to the wireless LAN terminal 10.

無線LAN端末10は、応答データの中から自己の「PLK」を有する探査応答を受け、そのデータ(ESSID,RAND)と秘密鍵18として以前に記憶する第1の乱数RANDとの排他的論理和を求めESSIDを解読(手順S3)する。この際、無線LAN端末10は、受けた複数の探査応答で例えば最大レベルの受信信号を有するアクセスポイントのうちの一つのAP20を選択し、ESSIDが自分と接続したいネットワーク名であれば、オーセンティケーション要求(Authentication Request)(以後、認証要求と短縮呼称することとする。)のデータフレームをAP20に送出(手順S4)して認証を要求する。このデータフレームはIEEE802.11規格群に準じたデータフレームであり、周知の処理が実行される。 The wireless LAN terminal 10 receives a search response having its own “PLK C ” from the response data, and excludes the data (ESSID, RAND A ) from the first random number RAND A previously stored as the secret key 18. A logical OR is obtained and ESSID is decoded (step S3). At this time, the wireless LAN terminal 10 selects, for example, one AP 20 of the access points having the received signal of the maximum level from the plurality of received search responses, and if the ESSID is a network name to be connected to itself, the wireless LAN terminal 10 authenticates. A data frame of an application request (Authentication Request) (hereinafter referred to as an abbreviated authentication request) is sent to the AP 20 (step S4) to request authentication. This data frame is a data frame conforming to the IEEE 802.11 standard group, and a known process is executed.

認証要求を受けたAP20は、認証結果をオーセンティケーション応答(Authentication Response)(以後、認証応答と短縮呼称することとする。)のデータフレームに搭載し無線LAN端末10に返送(手順S5)する。このデータフレームはIEEE802.11規格群に準じた周知のデータフレームである。   Upon receiving the authentication request, the AP 20 mounts the authentication result in a data frame of an authentication response (hereinafter referred to as “authentication response”) and returns it to the wireless LAN terminal 10 (step S5). . This data frame is a well-known data frame conforming to the IEEE 802.11 standard group.

認証結果が成功の場合、無線LAN端末10では、暗号化復号化部14が新たに第2の乱数RANDを生成して秘密鍵18とし、暗号鍵用メモリ15の第1の乱数RANDを乱数RANDに更新すると共に、アソシエーション要求(Association Request)(以後、連結要求と短縮呼称することとする。)のデータフレームをAP20に送出(手順S6)して通信接続を要求する。 If the authentication result is successful, in the wireless LAN terminal 10, the encryption / decryption unit 14 newly generates the second random number RAND B as the secret key 18, and uses the first random number RAND A in the encryption key memory 15. In addition to updating to a random number RAND B , a data frame of an association request (hereinafter referred to as a concatenation request) is sent to the AP 20 (step S6) to request a communication connection.

図6は無線LAN端末10からAP20へ送出する上記連結要求の一実施例をフォーマットで示す。図示される連結要求は、IEEE802.11規格群に準じたデータに、一つの情報要素を格納するものであって、ESSIDと上記乱数RANDとの排他的論理和を、保持しているAP公開鍵PLKで暗号化して得たデータ「PLK(ESSID,RAND)」である。 FIG. 6 shows an example of the connection request sent from the wireless LAN terminal 10 to the AP 20 in a format. The connection request shown in the figure is for storing one information element in data conforming to the IEEE 802.11 standard group, and is an AP publication that holds an exclusive OR of ESSID and the random number RAND B. Data “PLK A (ESSID, RAND B )” obtained by encryption with the key PLK A.

連結要求を受けたAP20は、受信したデータ「PLK(ESSID,RAND)」を自分の秘密鍵28で暗号化し、自分のAP公開鍵PLKと自分のESSIDとの排他的論理和を求めて乱数RANDを算出する。そして、算出された乱数RANDをアソシエーション応答(Association Response)(以後、連結応答と短縮呼称することとする。)のデータフレームに格納し無線LAN端末10に返送(手順S7)する。 Upon receiving the connection request, the AP 20 encrypts the received data “PLK A (ESSID, RAND B )” with its own secret key 28 and obtains an exclusive OR of its own AP public key PLK A and its own ESSID. To calculate the random number RAND B. The calculated random number RAND B is stored in a data frame of an association response (hereinafter referred to as a connection response) and returned to the wireless LAN terminal 10 (step S7).

図7は、AP20から無線LAN端末10へ返送する連結応答の一実施例をフォーマットで示す。図示される連結応答は、IEEE802.11規格群に準じたデータに、一つの情報要素を格納するものであって、その情報要素は乱数格納情報としてのデータ「RAND」である。 FIG. 7 shows an example of a connection response returned from the AP 20 to the wireless LAN terminal 10 in a format. The connection response shown in the figure stores one information element in data conforming to the IEEE 802.11 standard group, and the information element is data “RAND B ” as random number storage information.

連結応答を受けた無線LAN端末10は、連結応答に含まれる乱数RANDと、上記手順S6で自分が生成した乱数RANDとを比較し、一致確認の際には受けた連結応答を有効なデータフレームとして連結成立(手順S8)と判断して通常のIEEE802.11規格群に準じた処理を行う。 The wireless LAN terminal 10 that has received the connection response compares the random number RAND B included in the connection response with the random number RAND B generated by itself in step S6. It is determined that the connection is established as a data frame (step S8), and processing conforming to the normal IEEE 802.11 standard group is performed.

比較結果が不一致になった場合、無線LAN端末10は、パケットによるデオーセンティケーション(De-authentication)データフレームをAP20に送出して先の連結要求を取り消す。   If the comparison results do not match, the wireless LAN terminal 10 sends a de-authentication data frame by packet to the AP 20 to cancel the previous connection request.

このような形態を採用したので、無線LANで電波により通信されるデータに含まれるESSIDは暗号鍵により暗号化されている。そのため、通信中のネットワーク名が第三者に漏洩することが防止できる。更に、暗号鍵に乱数を用いることにより、繰返しの攻撃に対しても有効に防御することができる。   Since such a form is adopted, the ESSID included in the data communicated by radio waves in the wireless LAN is encrypted with the encryption key. Therefore, it is possible to prevent the network name during communication from leaking to a third party. Further, by using a random number as the encryption key, it is possible to effectively protect against repeated attacks.

本発明の実施例2としてハンドオーバ接続手順について図8に図1を併せ参照して説明する。   As a second embodiment of the present invention, a handover connection procedure will be described with reference to FIG. 8 and FIG.

図8の実施例は、図1の接続図において、上述した実施例1による連結成立し通信接続中の場合、通信中の信号の受信レベルが低下したことにより、受信レベルがより高いAP20Aにハンドオーバする際の手順である。無線LAN端末10の手順S1Aから手順S8Aまでは図3のシーケンスチャートとほぼ同じである。   In the embodiment of FIG. 8, in the connection diagram of FIG. 1, when the connection according to the above-described embodiment 1 is established and the communication connection is established, the reception level of the signal being communicated is lowered, so that the handover to the AP 20A having a higher reception level is performed. It is a procedure when doing. Steps S1A to S8A of the wireless LAN terminal 10 are almost the same as the sequence chart of FIG.

相違点は、手順S3Aに続く手順S3Bで、通信中の受信電波より高い受信レベルの電波を有するAP20Aが検出されていること、および、その結果、無線LAN端末10は、対応のAP20Aに認証要求を送出し、その認証成功の応答により、最初の接続である連結要求に替えて、再連結要求(Re-association Request)を送出していることである。したがって、AP20Aからは再連結応答(Re-association Response)が返送される。   The difference is that in step S3B following step S3A, an AP 20A having a radio wave with a reception level higher than the radio wave received during communication is detected, and as a result, the wireless LAN terminal 10 requests an authentication request from the corresponding AP 20A. In response to the successful authentication, a re-association request is sent instead of the first connection request. Accordingly, a re-association response is returned from the AP 20A.

その他の機能動作は、上述の実施例1と同一なのでその説明は省略する。   Other functional operations are the same as those in the first embodiment, and a description thereof will be omitted.

本発明の実施例3としてAPの再接続手順について上記図2および図3に図8を併せ参照して説明する。   As a third embodiment of the present invention, an AP reconnection procedure will be described with reference to FIGS. 2 and 3 and FIG.

図3において、通信接続中に切断が生じた場合、AP公開鍵メモリ17を調査して公開鍵を確認し、その公開鍵を用いて手順S3および手順S4により認証要求を送出する以降の手順を、再接続手順として実行する。この再接続手順の場合、無線LAN端末10における手順は図8と同様の手順S6Aおよび手順S8Aとなり、最初の接続における連結要求および連結応答のそれぞれは、再連結要求および再連結応答となる。   In FIG. 3, when a disconnection occurs during communication connection, the AP public key memory 17 is checked to confirm the public key, and the procedure after sending an authentication request in steps S3 and S4 using the public key is performed. Execute as reconnection procedure. In the case of this reconnection procedure, the procedure in the wireless LAN terminal 10 is the same procedure S6A and procedure S8A as in FIG. 8, and the connection request and the connection response in the first connection are the reconnection request and the reconnection response, respectively.

本発明の実施例4として上述の機能を総合して有する無線LAN端末10の主要動作手順について図9のフローチャートに図1から図8までを併せ参照して説明する。このチャートには、障害のような異常動作に関する手順は含まれていない。   As a fourth embodiment of the present invention, a main operation procedure of the wireless LAN terminal 10 having the above-mentioned functions in total will be described with reference to FIGS. 1 to 8 in the flowchart of FIG. This chart does not include procedures for abnormal operations such as faults.

無線LAN端末10は、一つのVPNに使用され、同一ESSIDのAP20またはAP20Aとアクセス可能なものとする。また、無線LAN端末10およびAP20はそれぞれ独自の公開鍵19「PLK」および公開鍵27「PLK」を予め記憶している。 The wireless LAN terminal 10 is used for one VPN and can access the AP 20 or AP 20A of the same ESSID. Each of the wireless LAN terminal 10 and the AP 20 stores a unique public key 19 “PLK C ” and a public key 27 “PLK A ” in advance.

無線LAN端末10は、例えば電源投入の際または通信開始の際に、MACデータ処理部13からAP接続要求を発生(手順S10)する。AP接続要求を発生した場合には、無線LAN端末10は、AP公開鍵メモリ17における公開鍵の取得なし(手順S11のNO)の状態である。   The wireless LAN terminal 10 generates an AP connection request from the MAC data processing unit 13 when the power is turned on or communication is started (step S10). When an AP connection request is generated, the wireless LAN terminal 10 is in a state where no public key is acquired in the AP public key memory 17 (NO in step S11).

手順S11が「NO」でAP公開鍵メモリ17に公開鍵の取得なしの場合、MACデータ処理部13は、暗号鍵用メモリ15の端末公開鍵「PLK」およびこの時点に暗号化複合化部14で発生し秘密鍵18として記録した乱数「RAND」を含む探査要求(図4参照)をパケットに作成する。探査要求は、AD変換部12を介して、無線送受信部11から周囲のアクセスポイント(AP20,AP20A)に向け放送(手順S12)される。その探査要求に対して、無線LAN端末10は、アクセスポイントから上述とは逆の経路で返送される自己端末公開鍵「PLK」を含む探査応答(図5参照)のパケットを受付けする。複数の探査応答を受付けの場合、MACデータ処理部13は、そのうちの一つ、例えば最大受信レベルを有する相手先のAP20からのパケットを受付け(手順S13のYES)する。探査応答には、AP20でそのAPのESSIDと乱数「RAND」との排他的論理和を端末側公開鍵PLKによって暗号化して得たESSIDの暗号化データとAP20の公開鍵「PLK」とが含まれる。 When the procedure S11 is “NO” and the public key is not acquired in the AP public key memory 17, the MAC data processing unit 13 sends the terminal public key “PLK C ” in the encryption key memory 15 and the encryption decryption unit at this time. A search request (see FIG. 4) including the random number “RAND A ” generated at 14 and recorded as the secret key 18 is created in the packet. The search request is broadcast from the wireless transmission / reception unit 11 to the surrounding access points (AP20, AP20A) via the AD conversion unit 12 (step S12). In response to the search request, the wireless LAN terminal 10 accepts a packet of a search response (see FIG. 5) including the self-terminal public key “PLK C ” sent back from the access point through the reverse route. When receiving a plurality of search responses, the MAC data processing unit 13 receives one of them, for example, a packet from the counterpart AP 20 having the maximum reception level (YES in step S13). In the search response, the encrypted data of the ESSID obtained by encrypting the exclusive OR of the ESSID of the AP and the random number “RAND A ” with the terminal-side public key PLK C and the public key “PLK A ” of the AP 20 are sent. And are included.

MACデータ処理部13は、受付けした探査応答情報を暗号化復号化部14で復号し、AP20のESSIDを解読(手順S14)して、自己の接続先ESSIDを確認(手順S15のYES)する。MACデータ処理部13は、そのESSIDが自分の接続要求するネットワーク名と一致した場合、別に取得したAP20の公開鍵「PLK」をAP公開鍵メモリ17に記録して規定された認証要求のパケットをAP20に上述と同一経路で送出(手順S16)する。 The MAC data processing unit 13 decrypts the received search response information by the encryption / decryption unit 14, decrypts the ESSID of the AP 20 (step S14), and confirms its own connection destination ESSID (YES in step S15). When the ESSID matches the network name requested for connection, the MAC data processing unit 13 records the AP 20 public key “PLK A ” separately acquired in the AP public key memory 17 and specifies the authentication request packet. Is transmitted to the AP 20 through the same route as described above (step S16).

MACデータ処理部13は、その認証要求に対しAP20から認証成功の認証応答を受付け(手順S17のYES)の場合、この時点に暗号化複合化部14で発生し秘密鍵18として記録を更新した乱数「RAND」とESSIDとの排他的論理和を、保持しているAP公開鍵PLKで暗号化して得たデータを含む連結要求(図6参照)をパケットに作成してAP20宛てに送出(手順S18)する。 If the MAC data processing unit 13 accepts an authentication response indicating a successful authentication from the AP 20 in response to the authentication request (YES in step S17), the MAC data processing unit 13 generates a secret key 18 that is generated at the encryption decryption unit 14 at this time. A connection request (see FIG. 6) including data obtained by encrypting the exclusive OR of the random number “RAND B ” and ESSID with the held AP public key PLK A is created in a packet and sent to the AP 20 (Procedure S18).

MACデータ処理部13は、その連結要求に対しAP20から連結成立の連結応答(図7参照)のパケットを受付け(手順S19のYES)の場合、その連結応答に含まれる乱数「RAND」と暗号用メモリ15に記録された秘密鍵18の乱数「RAND」との一致により、通信路の確立(手順S20)を確認することができる。その結果、端末同士のパケット通信が可能である。 In response to the connection request, the MAC data processing unit 13 accepts the packet of the connection response (see FIG. 7) for connection establishment from the AP 20 (YES in step S19) and the random number “RAND B ” included in the connection response is encrypted. a match between the random number of the private key 18 recorded in the use memory 15 "RAND B", it is possible to confirm establishment of the communication path (Step S20). As a result, packet communication between terminals is possible.

上記手順S13が「NO」で探査応答なしの場合、応答があるまで待ち合わせとなる。上記手順S15が「NO」で接続先ESSIDの一致が確認できない場合、または、上記手順S17若しくは手順S19が、図示されていないが例えば、所定のタイミング超過で「NO」となり、認証成功若しくは連結成立の応答なしの場合、何れの場合も手順は上記手順S13に戻り、他の探査応答がなければ次の探査応答を待ち受けし、他の探査応答があればそのうちの一つを受付けする。更に、図示されていないが、手順S20で乱数不一致の場合、MACデータ処理部13は、デオーセティケーション(De-authentication)データフレームをAP20に送出して先の連結要求を取り消す。   If step S13 is “NO” and no search response is received, the process waits until a response is received. If the procedure S15 is “NO” and the match of the connection destination ESSID cannot be confirmed, or the procedure S17 or the procedure S19 is not shown, but becomes “NO” when the predetermined timing is exceeded, for example, and the authentication succeeds or the connection is established. In any case, the procedure returns to step S13. If there is no other search response, the next search response is awaited, and if there is another search response, one of them is accepted. Further, although not shown in the figure, if the random number does not match in step S20, the MAC data processing unit 13 sends a de-authentication data frame to the AP 20 to cancel the previous connection request.

一方、再接続要求のため、上記手順S11が「YES」でAP公開鍵メモリ17に公開鍵の取得ありの場合、MACデータ処理部13は、そのアクセスポイント、例えばAP20に対して認証要求を送出(手順S21)する。MACデータ処理部13は、その認証要求に対しAP20から認証成功の認証応答を受付け(手順S22のYES)の場合、この時点に暗号化複合化部14で発生の乱数「RAND」とESSIDとの排他的論理和を、保持しているAP公開鍵PLKで暗号化して得たデータを含む再連結要求をパケットに作成してAP20宛てに送出(手順S23)する。次いで、MACデータ処理部13は、上記手順S19に進み、上記再連結要求に対しAP20から再連結成立の再連結応答で受付けする。 On the other hand, because of the reconnection request, when the above step S11 is “YES” and the public key is obtained in the AP public key memory 17, the MAC data processing unit 13 sends an authentication request to the access point, for example, the AP 20. (Procedure S21). If the MAC data processing unit 13 accepts an authentication response indicating successful authentication from the AP 20 in response to the authentication request (YES in step S22), the random number “RAND B ” and ESSID generated by the encryption decryption unit 14 at this time point A reconnection request including data obtained by encrypting the exclusive OR of the above with the held AP public key PLK A is created in a packet and sent to the AP 20 (step S23). Next, the MAC data processing unit 13 proceeds to step S19, and accepts the reconnection request from the AP 20 as a reconnection response indicating that reconnection is established.

周知の暗号化手法を用いて容易に無線LANのネットワーク名であるESSIDの暗号化ができ、無線LAN端末とアクセスポイントとの間の伝達情報に含まれるESSIDを暗号化することによって、ESSIDの盗難を困難にすることが必要かつ不可欠な用途、特にVPNなどのネットワーク形成の全般にわたり適用可能である。   The ESSID that is the network name of the wireless LAN can be easily encrypted using a known encryption method, and the ESSID is stolen by encrypting the ESSID included in the transmission information between the wireless LAN terminal and the access point. It is applicable to applications where it is necessary and indispensable to make the network difficult, particularly network formation such as VPN.

無線LANシステム構成の一実施例をブロックで示した説明図である。It is explanatory drawing which showed one Example of the wireless LAN system structure with the block. 無線LAN端末と無線LANのアクセスポイントとのそれぞれの本発明による構成の一実施例をブロックで示した説明図である。(実施例1〜4)It is explanatory drawing which showed in block form one Example of the structure by each this invention of a wireless LAN terminal and a wireless LAN access point. (Examples 1-4) 図2において、無線LAN端末がアクセスポイントと接続する際の主要動作手順の一実施例をシーケンスチャートで示した説明図である。(実施例1)In FIG. 2, it is explanatory drawing which showed in a sequence chart one Example of the main operation | movement procedures at the time of a wireless LAN terminal connecting with an access point. Example 1 本発明によるプローブ要求パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)It is explanatory drawing which showed one Example in the format of the probe request packet structure by this invention. Example 1 本発明によるプローブ応答パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)It is explanatory drawing which showed one Example of the probe response packet structure by this invention in the format. Example 1 本発明によるアソシエーション要求パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)It is explanatory drawing which showed one Example in the format of the association request packet structure by this invention. Example 1 本発明によるアソシエーション応答パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)It is explanatory drawing which showed one Example in the format of the association response packet structure by this invention. Example 1 本発明による無線LAN端末がアクセスポイントと接続する際のハンドオーバ接続または再接続における主要動作手順の一実施例をシーケンスチャートで示した説明図である。(実施例2,3)It is explanatory drawing which showed in a sequence chart one Example of the main operation | movement procedures in the handover connection or reconnection when the wireless LAN terminal by this invention connects with an access point. (Examples 2 and 3) 本発明による無線LAN端末がアクセスポイントと接続する際の主要動作手順の一実施例をフローチャートで示した説明図である。(実施例4)It is explanatory drawing which showed in a flowchart the example of the main operation | movement procedure at the time of the wireless LAN terminal by this invention connecting with an access point. (Example 4)

符号の説明Explanation of symbols

10 無線LAN端末
11、21 無線送受信部
12、22 AD変換部
13、23 MACデータ処理部
14、24 暗号化復号化部
15、25 暗号鍵用メモリ
16、26 上位層プロトコル処理部
17 AP公開鍵メモリ
18、28 秘密鍵
19、27 公開鍵
20、20A AP DESCRIPTION OF SYMBOLS 10 Wireless LAN terminal 11, 21 Wireless transmission / reception part 12, 22 AD conversion part 13, 23 MAC data processing part 14, 24 Encryption / decryption part 15, 25 Encryption key memory 16, 26 Upper layer protocol processing part 17 AP public key Memory 18, 28 Private key 19, 27 Public key 20, 20A AP

Claims (11)

無線LAN端末がアクセスポイントと通信する際の無線LAN端末接続方法において、前記無線LAN端末と前記アクセスポイントとの間の通信路を形成する際に、暗号鍵を用いて、無線LANのアクセスポイントに付与されかつ送受信するパケットデータに挿入されるネットワーク名(ESSID)を、暗号化することを特徴とする無線LAN端末接続方法。   In a wireless LAN terminal connection method when a wireless LAN terminal communicates with an access point, an encryption key is used to form a wireless LAN access point when forming a communication path between the wireless LAN terminal and the access point. A wireless LAN terminal connection method, comprising: encrypting a network name (ESSID) to be assigned and inserted into packet data to be transmitted / received. 請求項1に記載の無線LAN端末接続方法において、前記暗号鍵には、無線LAN端末およびそのアクセスポイントそれぞれで保持する予め付与される公開鍵および必要の都度生成する秘密鍵を用いることを特徴とする無線LAN端末接続方法。   2. The wireless LAN terminal connection method according to claim 1, wherein the encryption key uses a public key provided in advance in each of the wireless LAN terminal and its access point and a secret key generated whenever necessary. Wireless LAN terminal connection method. 請求項2に記載の無線LAN端末接続方法において、前記秘密鍵は、乱数を用いて、無線LAN端末で生成することを特徴とする無線LAN端末接続方法。   The wireless LAN terminal connection method according to claim 2, wherein the secret key is generated by a wireless LAN terminal using a random number. 請求項3に記載の無線LAN端末接続方法において、無線LAN端末からアクセスポイントに自己の端末公開鍵と別に生成した第1の秘密鍵とを探査要求に形成して送出し、受付けした端末公開鍵と第1の秘密鍵とで自己のESSIDを暗号化した探査応答を形成してアクセスポイントから返送し、無線LAN端末が受付けした探査応答から暗号化ESSIDを解読し、ESSIDが接続先一致の場合には無線LAN端末からそのアクセスポイントに認証要求し、このアクセスポイントから認証成功応答を受付けした際に無線LAN端末は第2の秘密鍵を生成してESSIDと共に端末公開鍵により暗号化し、それを連結要求に形成して相手先アクセスポイントに送出し、アクセスポイントで受付けした連結要求の暗号化データから第2の秘密鍵を復号し、連結成立の際にはこの第2の秘密鍵をアクセスポイントから無線LAN端末へ返送することを特徴とする無線LAN端末接続方法。   4. The wireless LAN terminal connection method according to claim 3, wherein the wireless LAN terminal forms and sends out a first private key generated separately from its own terminal public key to the access point from the wireless LAN terminal, and accepts the received terminal public key When a search response in which the ESSID is encrypted with the first secret key is formed and returned from the access point, the encrypted ESSID is decrypted from the search response received by the wireless LAN terminal, and the ESSID matches the connection destination The wireless LAN terminal makes an authentication request to the access point from the wireless LAN terminal, and upon receiving an authentication success response from the access point, the wireless LAN terminal generates a second secret key and encrypts it with the terminal public key along with the ESSID. A connection request is formed and sent to the partner access point, and the second secret is obtained from the encrypted data of the connection request received at the access point. Decrypts the key, when the connection established wireless LAN terminal connection method characterized by returning the second secret key from the access point to the wireless LAN terminal. 無線LAN端末がアクセスポイントと接続して通信する無線LANシステムにおいて、前記無線LAN端末および前記アクセスポイントそれぞれは、所定の暗号鍵を保持し、送信するパケットデータの所定位置に挿入するESSIDを暗号鍵で暗号化する手段と、受信するパケットデータの所定位置のデータからESSIDを暗号鍵で復号する手段と、を有することを特徴とする無線LANシステム。   In a wireless LAN system in which a wireless LAN terminal is connected to and communicates with an access point, each of the wireless LAN terminal and the access point holds a predetermined encryption key and uses an ESSID inserted at a predetermined position of packet data to be transmitted as an encryption key A wireless LAN system, comprising: means for encrypting the packet data; and means for decrypting the ESSID from the data at a predetermined position of the received packet data with an encryption key. 請求項5に記載の無線LANシステムにおいて、前記暗号化および復号のための暗号鍵には、無線LAN端末およびそのアクセスポイントそれぞれで保持する予め付与される公開鍵と必要の都度生成する秘密鍵とを用いることを特徴とする無線LANシステム。   6. The wireless LAN system according to claim 5, wherein the encryption key for encryption and decryption includes a public key held in advance by each of the wireless LAN terminal and its access point, and a secret key generated whenever necessary. A wireless LAN system characterized by using a wireless LAN system. 請求項6に記載の無線LANシステムにおいて、前記秘密鍵は、無線LAN端末が乱数から生成することを特徴とする無線LANシステム。   7. The wireless LAN system according to claim 6, wherein the secret key is generated from a random number by a wireless LAN terminal. 無線LANシステムにおいて、アクセスポイントと無線回線で接続する無線LAN端末が、自己に予め付与された端末公開鍵と別に生成する秘密鍵とを暗号化用に保持する暗号鍵用メモリと、通信相手のアクセスポイントから送られるアクセスポイント公開鍵を保持するアクセスポイント公開鍵メモリと、暗号化用鍵を用いてデータを暗号化する一方、暗号化されたデータを復号する暗号化複合化部と、MAC(Media Access Control layer)層のデータパケット構成に含まれ、無線LANの接続先アクセスポイントに付与されるネットワーク名「ESSID」を暗号化して送信する一方、受信する暗号化ESSIDを復号処理するデータ処理部と、を備えることを特徴とする無線LANシステム。   In a wireless LAN system, a wireless LAN terminal connected to an access point via a wireless line has an encryption key memory that holds a secret key that is generated separately from a terminal public key assigned to the access point for encryption, a communication partner An access point public key memory that holds an access point public key sent from the access point, an encryption decryption unit that decrypts the encrypted data while encrypting data using the encryption key, and a MAC ( Data processing unit that is included in the data packet configuration of the Media Access Control layer) and that encrypts and transmits the network name “ESSID” given to the access point connected to the wireless LAN, while decrypting the received encrypted ESSID A wireless LAN system comprising: 請求項8に記載の無線LANシステムにおいて、前記データ処理部が、前記メモリと暗号化複合化部とを用いて、前記アクセスポイントと送受信するデータパケットで、無線LANの接続先アクセスポイントに付与されるネットワーク名「ESSID」をそのアクセスポイントから取得する場合、前記端末公開鍵とその時点で生成する第1の秘密鍵とをプローブ要求に含ませて周囲のアクセスポイント宛てに放送する手段と、このプローブ要求に応答して受付けするプローブ応答の所定位置から、相手先アクセスポイントの公開鍵を取得して前記アクセスポイント公開鍵メモリに記録し、かつ、前記第1の秘密鍵で暗号化された前記ESSIDを解読して接続先ネットワークとの一致を確認する手段と、一致を確認した際に、所定のオーセンティケーション要求を相手先アクセスポイントの公開鍵を付して送出する手段と、このオーセンティケーション要求に応答して認証成功のオーセンティケーション応答を受付けの際には第2の秘密鍵を生成してESSIDと共に端末公開鍵により暗号化し、アソシエーション要求として相手先アクセスポイントに送出する手段と、アソシエーション要求に応答して受付けするアソシエーション応答の所定位置から前記第2の秘密鍵を取得して通信路の接続を確認する手段と、を有することを特徴とする無線LANシステム。   9. The wireless LAN system according to claim 8, wherein the data processing unit is a data packet transmitted to and received from the access point using the memory and an encryption decryption unit, and is provided to a connection destination access point of the wireless LAN. When acquiring the network name “ESSID” from the access point, the terminal public key and the first secret key generated at that time are included in the probe request and broadcast to the surrounding access points. The public key of the partner access point is acquired from a predetermined position of the probe response received in response to the probe request, recorded in the access point public key memory, and encrypted with the first secret key Means for decoding the ESSID and confirming a match with the connected network, and a predetermined authenticity when the match is confirmed. A second secret key is generated when an authentication response of a successful authentication is received in response to the authentication request and a means for transmitting the authentication request with the public key of the partner access point The second secret key is obtained from the predetermined position of the association response received in response to the association request and the means for encrypting with the terminal public key together with the ESSID and sending it as an association request to the destination access point. And a means for confirming connection. 無線LANシステムにおいて、無線LAN端末と無線回線で接続するアクセスポイントが、自己に予め付与されたアクセスポイント公開鍵と通信相手の無線LAN端末から受ける秘密鍵とを暗号化用に保持するメモリと、暗号化用鍵を用いてデータを暗号化する一方で暗号化されたデータを復号する暗号化複合化部と、MAC(Media Access Control layer)層のデータパケット構成に含まれ、無線LANの接続先アクセスポイントに付与されるネットワーク名「ESSID」を暗号化して送信する一方、受信する暗号化ESSIDを復号処理するデータ処理部と、を備えることを特徴とする無線LANシステム。   In a wireless LAN system, an access point connected to a wireless LAN terminal via a wireless line stores an access point public key previously assigned to the access point and a secret key received from a wireless LAN terminal of a communication partner for encryption, It is included in the data decryption part of the MAC (Media Access Control layer) layer that encrypts the data using the encryption key while decrypting the encrypted data, and the wireless LAN connection destination A wireless LAN system comprising: a data processing unit that decrypts a received encrypted ESSID while encrypting and transmitting a network name “ESSID” given to an access point. 請求項10に記載の無線LANシステムにおいて、前記データ処理部が、前記メモリと暗号化複合化部とを用いて、前記無線LAN端末と送受信するデータパケットで、前記無線LAN端末からプローブ要求の放送を受付けの際には、そのプローブ要求の所定位置から端末公開鍵と第1の秘密鍵とを取得してそれらにより自己に付与されるネットワーク名「ESSID」を暗号化し、自己の公開鍵と共にプローブ応答に形成して返送する手段と、前記無線LAN端末からオーセンティケーション要求を受付けの際にはその認証成立で所定のオーセンティケーション応答を形成して返送する手段と、前記無線LAN端末からアソシエーション要求を受付けの際には、そのアソシエーション要求の所定位置の暗号化されたデータを復号して第2の秘密鍵を取得し、アソシエーション応答として返送する手段と、を有することを特徴とする無線LANシステム。   The wireless LAN system according to claim 10, wherein the data processing unit broadcasts a probe request from the wireless LAN terminal using a data packet transmitted to and received from the wireless LAN terminal using the memory and an encryption decryption unit. Is received, the terminal public key and the first secret key are acquired from a predetermined position of the probe request, and the network name “ESSID” given to the terminal is encrypted, and the probe together with the public key is probed. Means for forming and returning a response, means for forming and returning a predetermined authentication response upon establishment of authentication upon acceptance of an authentication request from the wireless LAN terminal, and association from the wireless LAN terminal When accepting the request, the encrypted data at the predetermined position of the association request is decrypted and the second Wireless LAN systems characterized by having acquired a Mitsukagi, and means for returning the association response, a.
JP2007196913A 2007-07-30 2007-07-30 Wireless LAN system Active JP4506999B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007196913A JP4506999B2 (en) 2007-07-30 2007-07-30 Wireless LAN system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007196913A JP4506999B2 (en) 2007-07-30 2007-07-30 Wireless LAN system

Publications (2)

Publication Number Publication Date
JP2009033585A true JP2009033585A (en) 2009-02-12
JP4506999B2 JP4506999B2 (en) 2010-07-21

Family

ID=40403569

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007196913A Active JP4506999B2 (en) 2007-07-30 2007-07-30 Wireless LAN system

Country Status (1)

Country Link
JP (1) JP4506999B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012095191A (en) * 2010-10-28 2012-05-17 Kddi Corp Full stealth mode wireless lan device and connection method thereof
JP2012191615A (en) * 2011-03-08 2012-10-04 Nhn Business Platform Corp Network management device and network management method
JP2015186215A (en) * 2014-03-26 2015-10-22 Necプラットフォームズ株式会社 Communication system, communication apparatus and communication method
JP2018085770A (en) * 2013-07-09 2018-05-31 京セラ株式会社 Communication method, user terminal, and processor
CN112383915A (en) * 2020-12-02 2021-02-19 中国联合网络通信集团有限公司 Wireless network access method, wireless access device and terminal

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005051368A (en) * 2003-07-30 2005-02-24 Kyocera Corp Communication apparatus, base station apparatus and communication system
JP2005136897A (en) * 2003-10-31 2005-05-26 Sony Corp Communication system, information processing apparatus and method, and program
WO2005101727A1 (en) * 2004-04-15 2005-10-27 Matsushita Electric Industrial Co., Ltd. Communication device, communication system, and authentication method
JP2006246433A (en) * 2005-02-03 2006-09-14 Canon Inc Communication apparatus and communication method
JP2007184762A (en) * 2006-01-06 2007-07-19 Canon Inc Communication method of wireless communication system, and wireless communication device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005051368A (en) * 2003-07-30 2005-02-24 Kyocera Corp Communication apparatus, base station apparatus and communication system
JP2005136897A (en) * 2003-10-31 2005-05-26 Sony Corp Communication system, information processing apparatus and method, and program
WO2005101727A1 (en) * 2004-04-15 2005-10-27 Matsushita Electric Industrial Co., Ltd. Communication device, communication system, and authentication method
JP2006246433A (en) * 2005-02-03 2006-09-14 Canon Inc Communication apparatus and communication method
JP2007184762A (en) * 2006-01-06 2007-07-19 Canon Inc Communication method of wireless communication system, and wireless communication device

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012095191A (en) * 2010-10-28 2012-05-17 Kddi Corp Full stealth mode wireless lan device and connection method thereof
JP2012191615A (en) * 2011-03-08 2012-10-04 Nhn Business Platform Corp Network management device and network management method
JP2018085770A (en) * 2013-07-09 2018-05-31 京セラ株式会社 Communication method, user terminal, and processor
JP2015186215A (en) * 2014-03-26 2015-10-22 Necプラットフォームズ株式会社 Communication system, communication apparatus and communication method
CN112383915A (en) * 2020-12-02 2021-02-19 中国联合网络通信集团有限公司 Wireless network access method, wireless access device and terminal
CN112383915B (en) * 2020-12-02 2023-11-21 中国联合网络通信集团有限公司 Wireless network access method, wireless access device and terminal

Also Published As

Publication number Publication date
JP4506999B2 (en) 2010-07-21

Similar Documents

Publication Publication Date Title
JP6262308B2 (en) System and method for performing link setup and authentication
US8046583B2 (en) Wireless terminal
JP4990608B2 (en) Method and apparatus for transmitting message by wireless device group
US8787572B1 (en) Enhanced association for access points
KR100709622B1 (en) Method for device registration in a wireless home network
US20100119069A1 (en) Network relay device, communication terminal, and encrypted communication method
CN109922474B (en) Method for triggering network authentication and related equipment
JP2006067174A (en) Control program, communication relay device control method, and communication relay device and system
JP2012217207A (en) Exchange of key material
JP2008530917A (en) Context-restricted shared secret
JP2015502104A (en) Method and device for authentication in an integrated wireless network
WO2015100974A1 (en) Terminal authentication method, device and system
JP2007503637A (en) Method, system, authentication server, and gateway for providing credentials
US11962692B2 (en) Encrypting data in a pre-associated state
JP4506999B2 (en) Wireless LAN system
JP2007506329A (en) Method for improving WLAN security
US20080126455A1 (en) Methods of protecting management frames exchanged between two wireless equipments, and of receiving and transmitting such frames, computer programs, and data media containing said computer programs
US20080137553A1 (en) Method of automatic certification and secure configuration of a wlan system and transmission device thereof
JPH06318939A (en) Cipher communication system
US20040255121A1 (en) Method and communication terminal device for secure establishment of a communication connection
KR101658657B1 (en) Terminal and apparatus authentication surpporting for network access security enhancement system
CN114245372B (en) Authentication method, device and system
CN107005410B (en) Internet protocol security tunnel establishment method, user equipment and base station
US20220159457A1 (en) Providing ue capability information to an authentication server
Faraj Security technologies for wireless access to local area networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100407

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100420

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4506999

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140514

Year of fee payment: 4

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350