JP4515024B2 - Management terminal - Google Patents

Management terminal Download PDF

Info

Publication number
JP4515024B2
JP4515024B2 JP2002360537A JP2002360537A JP4515024B2 JP 4515024 B2 JP4515024 B2 JP 4515024B2 JP 2002360537 A JP2002360537 A JP 2002360537A JP 2002360537 A JP2002360537 A JP 2002360537A JP 4515024 B2 JP4515024 B2 JP 4515024B2
Authority
JP
Japan
Prior art keywords
frame
terminal
management terminal
participation information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002360537A
Other languages
Japanese (ja)
Other versions
JP2004194045A (en
Inventor
洋典 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2002360537A priority Critical patent/JP4515024B2/en
Publication of JP2004194045A publication Critical patent/JP2004194045A/en
Application granted granted Critical
Publication of JP4515024B2 publication Critical patent/JP4515024B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、無線通信路等の媒体を管理する管理端末と端末とから構成される通信システムに関するものである。
【0002】
【従来の技術】
最も普及している無線LANの規格であるIEEE802.11では、各端末に、セキュリティとして同じグループを示すSSIDと暗号化および復号化のための秘密鍵とを設定することができる。
【0003】
以下、従来の通信システムについて、図1、図2、図7を用いて説明する。
【0004】
図1は一般的な通信システムを示す構成図であり、図2は一般的な通信システムにおけるデータリンク層のフレーム構成を示すデータ構成図、図7は従来の通信システムの動作を示すシーケンス図である。
【0005】
図1において、1a、1bは端末、2は有線LANと無線LANとを接続し無線LANを管理する管理端末である。図に描写していないが管理端末2は有線LANと接続されている。3a、3b、3cは実際には目には見えないがそれぞれ無線通信路(媒体)を示しており、3aは端末1aと管理端末2との間の無線通信路、3bは端末1bと管理端末2との間の無線通信路、3cは端末1aと端末1bとの間の無線通信路である。但し、IEEE802.11では、管理端末2が通信システムを管理する場合、無線通信路3cは実際には使用されない。図2において、5はIEEE802.11のデータリンク層におけるフレーム、6はどのような種類のフレームか、暗号化を行っているか、宛先アドレス、送信元アドレス等を示すMAC(Medium Access Control)ヘッダ、7は実際のフレームの内容が格納され、MACヘッダ6の内容によって暗号化が行われるフレーム・ボディ(Frame body)、8はMACヘッダ6とFrame body7の内容の正当性を確認するためにMACヘッダ6とFrame body7から計算された32ビットのCRC(cyclic Redundancy Code)であるFCS(Frame Check Sequence)である。図7は、管理端末2が管理している媒体への参加をまだ許可されていない端末1aが初めて管理端末2に暗号化されたデータを送る場合の端末1aと管理端末2との間のフレーム交換を示す。
【0006】
以下、従来のフレーム交換のシーケンスを説明する。
【0007】
端末1aが管理端末2にデータを送るためには、管理端末2による端末1aの認証(Authentication)、管理端末2による端末1aとの接続条件交渉(Association)および端末1aから管理端末2へのデータ受け渡しの3段階のステップが必要である。これらのステップでは管理端末2と端末1aとの間でフレーム交換が行われ、全て無線通信路3aが使用される。
【0008】
暗号化を可能とする認証には次の4つのステップがある。まず端末1aから管理端末2へ認証シーケンス開始要求を知らせるAuthentication1フレームを送信する。Authentication1フレームを受信した管理端末2は、Frame body7の一部を秘密鍵で暗号化したAuthentication2フレームを端末1aに送信する。Authentication2フレームを受信した端末1aは、Authentication2フレームの暗号化されたFrame body7の一部を秘密鍵で復号した結果をAuthentication3フレームのFrame body7の一部に格納したAuthentication3フレームを管理端末2に送信する。Authentication3フレームを受信した管理端末2は、復号の成功か失敗を示すAuthentication4フレームを端末1aに送信する。復号の成功を示すAuthentication4フレームを受信した端末1aは、接続条件交渉を開始する。
【0009】
接続条件交渉には次の2つのステップがある。端末1aから管理端末2へ接続条件および管理端末2が管理しているグループを示すSSIDを格納したFrame body7を持つAssociation requestフレームを管理端末2に送信する。Association requestフレームを受信した管理端末2はSSIDを確認し、接続条件を確認する。そして、接続条件交渉が成功か失敗かを示す情報および受け入れられる接続条件を格納したFrame body7を持つAssociation responseフレームを端末1aに送信する。接続条件交渉の成功を示すAssociation responseフレームを受信した端末1aは、管理端末2へのデータ受け渡しを開始する。
【0010】
データ受け渡しには次の2つのステップがある。端末1aから管理端末2へ受け渡したいデータを秘密鍵で暗号化した内容をFrame body7に格納したDataフレームを送信する。Dataフレームを受信した管理端末2は、受信されたMACヘッダ6およびFrame body7から計算されたFCSと受信されたFCS8が同じであり、受信されたFrame body7が正しく復号された場合に、正しく受信されたことを示すACKフレームを端末1aに送信する。
【0011】
また、低価格で容易かつ確実な秘密保持が実現できる暗号機能付き通信システムを提供するために、暗号化用ICカードと復号化用ICカードをそれぞれの通信機器に着脱可能にしているものもある(このことは、例えば特許文献1参照)。
【0012】
【特許文献1】
特開平05−110873号公報
【0013】
【発明が解決しようとする課題】
しかしながら、上記従来の通信システムでは、データを入力する部分(データ入力部)を有する端末では、SSIDと秘密鍵の設定を行うことができるので、媒体へのアクセスを行うことができるが、着脱可能なカードを含むデータ入力部が無い端末では、SSIDと秘密鍵の設定を行うことができないので、媒体へのアクセスができないという問題点を有していた。
【0014】
この通信システムでは、データ入力部が無い端末でもセキュリティを確保した媒体へのアクセスが可能であることが要求されている。
【0015】
本発明は、この要求を満たすため、データ入力部が無い端末でもセキュリティを確保した媒体へのアクセスが可能である通信システムを提供することを目的とする。
【0016】
上記課題を解決するために本発明の管理端末は、無線通信路を管理する管理端末であって、参加情報配布モード要求フレームを、無線通信路を介して第1の端末から受信する受信手段と、受信手段が参加情報配布モード要求フレームを受信した場合に、第1の端末と異なる第2の端末を無線通信路に参加させるために必要な情報を含む参加情報フレームを、無線通信路を介して第2の端末に送信する構成とした。
【0017】
これにより、データ入力部が無い端末でもセキュリティを確保した媒体へのアクセスが可能である通信システムが得られる。
【0018】
第1の発明に係る管理端末は、無線通信路を管理する管理端末であって、参加情報配布モード要求フレームを、無線通信路を介して第1の端末から受信する受信手段と、受信手段が参加情報配布モード要求フレームを受信した場合に、第1の端末と異なる第2の端末を無線通信路に参加させるために必要な情報を含む参加情報フレームを、無線通信路を介して第2の端末に送信する構成としたものである。
【0019】
この構成により、端末が管理端末を介して参加情報フレームを送信することができるので、管理端末自身が操作困難な場所に設置されている場合でも、セキュリティを確保した媒体へのアクセスを行うことができ、なおかつ、新しい端末を媒体に参加させる時にだけ参加情報配布モードにして参加情報フレームを送信するので、時間的に参加情報フレームが盗聴される機会を減らすことができる。
【0032】
以下、本発明の実施の形態について、図1〜図6を用いて説明する。
【0033】
(実施の形態1)
本発明の実施の形態1による通信システムの構成は従来と同様、図1に示す構成である。本実施の形態においては、端末1aはSSIDと秘密鍵を入力するデータ入力部を持たず、また、管理端末2は参加情報フレームの送信の開始および停止を行うためのスイッチ(図示せず)を持つ。このこと以外は従来の技術と同じである。管理端末2は、スイッチをONにすると、参加情報フレームを送信し、スイッチをOFFにすると参加情報フレームを送信しないようになる。
【0034】
このように構成された通信システムについて、その動作を図2、図3を用いて説明する。図3は、本発明の実施の形態1による通信システムの動作を示すシーケンス図であり、管理端末2が管理している媒体への参加をまだ許可されていない端末1aが初めて管理端末2に暗号化されたデータを送る場合の端末1aと管理端末2との間のフレーム交換を示す。図3では管理端末2と端末1aとの間でのみフレーム交換が行われるので、全て無線通信路3aが使用される。図3において、Authentication1フレーム、Authentication2フレーム、Authentication3フレーム、Authentication4フレーム、Association requestフレーム、Association responseフレーム、DataフレームおよびACKフレームは従来の技術で説明した同じ名前のものと同じである。
【0035】
管理端末2のスイッチがONにされると、管理端末2は、フレーム種別として参加情報フレームであることを示す情報とブロードキャストに設定された宛先アドレスとをフレーム5のMACヘッダ6に格納し、暗号化されていないFrame body7にSSIDと秘密鍵を格納した参加情報フレームを送信する。その後、管理端末2のスイッチはOFFにされ、参加情報フレームを送信することはない。端末1bも参加情報フレームを受信することになるが、端末1bはデータ入力部も持っているので、参加情報フレームを破棄する。参加情報フレームを受信した端末1aはFrame body7からSSIDと秘密鍵を入手する。この状態は従来の技術で説明した端末1aの最初の状態と同じである。その後、管理端末2による端末1aの認証(Authentication1フレーム、Authentication2フレーム、Authentication3フレームおよびAuthentication4フレームを用いて行う認証)、管理端末2による端末1aとの接続条件交渉(Association requestフレームおよびAssociation responseフレームを用いて行う接続条件交渉)および端末1aから管理端末2へのデータ受け渡し(DataフレームおよびACKフレームを用いて行うデータ受け渡し)を行うことができる。
【0036】
なお、本実施の形態では、端末が2つの場合について説明したが、端末の数はいくつでもでもよいことは言うまでもない。また、参加情報フレームを1回しか送信しないような場合について説明したが、接続条件交渉が正常に終了したことを確認するまで、参加情報フレームを何回送ってもよいことは言うまでもない。また、参加情報フレームの送信の開始および停止を行うためのスイッチがあるような場合について説明したが、本発明はスイッチに限定するものではなく、参加情報フレームの送信の開始および停止を制御できるようなものであれば何でもよいことは言うまでもない。
【0037】
以上のように本実施の形態によれば、管理端末2が端末1aを媒体に参加させるために必要な情報を含む参加情報フレームを送信し、端末1aは受信した参加情報フレームの内容を参加情報に設定することにより、データ入力部が無い端末1aでも、参加情報フレームを受信してSSIDと秘密鍵を設定することができるので、セキュリティを確保した媒体へのアクセスを行うことができる。
【0038】
(実施の形態2)
本発明の実施の形態2による通信システムの構成は従来と同様、図1に示す構成である。本実施の形態においては、端末1aはSSIDと秘密鍵を入力するデータ入力部を持たず、端末1bは参加情報配布モード要求フレームおよび通常モード要求フレームを送信することが可能なモード切り替え要求プログラムを持つ。このこと以外は従来の技術と同じである。
【0039】
このように構成された通信システムについて、その動作を図2、図4を用いて説明する。図4は、本発明の実施の形態2による通信システムの動作を示すシーケンス図であり、管理端末2が管理している媒体への参加をまだ許可されていない端末1aが初めて管理端末2に暗号化されたデータを送る場合の端末1aと管理端末2との間および端末1bと管理端末2との間のフレーム交換を示す。図4では、管理端末2と端末1aとの間および端末1bと管理端末2との間でフレーム交換が行われるので、無線通信路3aと無線通信路3bとが使用される。図4において、Authentication1フレーム、Authentication2フレーム、Authentication3フレーム、Authentication4フレーム、Association requestフレーム、Association responseフレーム、DataフレームおよびACKフレームは従来の技術で説明した同じ名前のものと同じである。
【0040】
モード切り替え要求プログラムを使用して端末1bによりフレーム5のMACヘッダ6に、フレームの種別として参加情報配布モード要求フレームであることを示す情報を設定し、また宛先を管理端末2とする宛先アドレスを設定した参加情報配布モード要求フレームが送信されると、このフレームを受信した管理端末2は、フレーム種別として参加情報フレームであることを示す情報とブロードキャストに設定された宛先アドレスとをフレーム5のMACヘッダ6に格納し、暗号化されていないFrame body7にSSIDと秘密鍵を格納した参加情報フレームを送信する。この参加情報フレームは端末1bでも受信することができ、参加情報フレームの送信を確認した端末1bは、フレーム種別として通常モード要求フレームであることを示す情報と管理端末2に設定された宛先アドレスとをフレーム5のMACヘッダ6に格納した通常モード要求フレームを送信し、正常に通常モード要求フレームを受信した管理端末2は、その以後に参加情報フレームを送信することはない。参加情報フレームを受信した端末1aは、Frame body7からSSIDと秘密鍵を入手する。この状態は従来の技術で説明した端末1aの最初の状態と同じである。その後、管理端末2による端末1aの認証(Authentication1フレーム、Authentication2フレーム、Authentication3フレームおよびAuthentication4フレームを用いて行う認証)、管理端末2による端末1aとの接続条件交渉(Association requestフレームおよびAssociation responseフレームを用いて行う接続条件交渉)および端末1aから管理端末2へのデータ受け渡し(DataフレームおよびACKフレームを用いて行うデータ受け渡し)を行うことができる。
【0041】
なお、本実施の形態では、端末1bが参加情報配布モード要求フレームと通常要求フレームとを送信可能なモード切り替え要求プログラムを使用した場合について説明したが、本発明はモード切り替え要求プログラムの使用に限定するものではなく、参加情報配布モード要求フレームと通常要求フレームとを送信できるものであれば何でもよいことは言うまでもない。
【0042】
以上のように本実施の形態によれば、媒体へのアクセスが可能な端末1bが、管理端末2を参加情報配布モードにすることを要求する参加情報配布モード要求フレームを送信した場合、参加情報配布モード要求フレームを受信した管理端末2は参加情報配布モードになり、管理端末2を通常モードにすることを要求する通常モード要求フレームを送信した場合、通常モード要求フレームを受信した管理端末2は通常モードになることにより、管理端末2自身が操作困難な場所に設置されている場合でも、端末1bが管理端末2を介して参加情報フレームを送信することができるので、データ入力部が無い端末1aもセキュリティを確保した媒体へのアクセスを行うことができ、なおかつ、新しい端末を媒体に参加させる時にだけ参加情報配布モードにして参加情報フレームを送信するので、時間的に参加情報フレームが盗聴される機会を減らすことができる。
【0043】
(実施の形態3)
本発明の実施の形態3による通信システムの構成は従来と同様、図1に示す構成である。本実施の形態においては、端末1aはSSIDと秘密鍵を入力するデータ入力部を持たず、端末1bは参加情報フレームを送信することが可能な参加情報配布プログラムを持つ。このこと以外は従来の技術と同じである。
【0044】
このように構成された通信システムについて、その動作を図2、図3、図5を用いて説明する。図5は、本発明の実施の形態3による通信システムの動作を示すシーケンス図であり、管理端末2が管理している媒体への参加をまだ許可されていない端末1aが初めて管理端末2に暗号化されたデータを送る場合の端末1aと管理端末2との間および端末1aと端末1bとの間のフレーム交換を示す。図5では、管理端末2と端末1aとの間および端末1aと端末1bとの間でフレーム交換が行われるので、無線通信路3aと無線通信路3cとが使用される。図5において、Authentication1フレーム、Authentication2フレーム、Authentication3フレーム、Authentication4フレーム、Association requestフレーム、Association responseフレーム、DataフレームおよびACKフレームは従来の技術で説明した同じ名前のものと同じである。
【0045】
端末1bは既に管理端末2から媒体への参加を許可されているので、SSIDと秘密鍵の内容を知っている。端末1bは、参加情報配布プログラムを使用して、フレーム種別として参加情報フレームであることを示す情報とブロードキャストに設定された宛先アドレスとをフレーム5のMACヘッダ6に格納し、暗号化されていないFrame body7にSSIDと秘密鍵を格納した参加情報フレームを送信する。参加情報フレームを受信した端末1aは、Frame body7からSSIDと秘密鍵を入手する。この状態は従来の技術で説明した端末1aの最初の状態と同じである。その後、管理端末2による端末1aの認証(Authentication1フレーム、Authentication2フレーム、Authentication3フレームおよびAuthentication4フレームを用いて行う認証)、管理端末2による端末1aとの接続条件交渉(Association requestフレームおよびAssociation responseフレームを用いて行う接続条件交渉)および端末1aから管理端末2へのデータ受け渡し(DataフレームおよびACKフレームを用いて行うデータ受け渡し)を行うことができる。
【0046】
なお、本実施の形態では、端末1bが参加情報フレームを送信可能な参加情報配布プログラムを使用した場合について説明したが、本発明は参加情報配布プログラムの使用に限定するものではなく、参加情報フレームを送信できるものであれば何でもよいことは言うまでもない。
【0047】
以上のように本実施の形態によれば、無線通信路等の媒体を管理する管理端末と管理端末に管理される複数の端末とから構成される通信システムであって、複数の端末内のいずれかの端末1bが媒体に参加させるために必要な情報を含む参加情報フレームを端末内のデータ入力部が無い端末1aに送信し、端末1aは受信した参加情報フレームの内容を参加情報に設定することにより、管理端末2自身が操作困難な場所に設置されている場合でも、既に媒体に参加している端末1bが参加情報フレームを送信することができ、データ入力部が無い端末1aでも参加情報フレームを受信することにより媒体への参加情報を設定することができるので、セキュリティを確保した媒体へのアクセスを行うことができ、既に媒体に参加している端末1bが新しい端末を媒体に参加させる時にだけ参加情報フレームを送信するので、時間的に参加情報フレームが盗聴される機会を減らすことができる。
【0048】
(実施の形態4)
本発明の実施の形態4による通信システムの構成は従来と同様、図1に示す構成である。本実施の形態においては、端末1aはSSIDと秘密鍵を入力するデータ入力部を持たず、また、管理端末2はモード切り替えを行うためのスイッチ(図示せず)を持ち、端末1aはモード切り替えを行うためのスイッチ(図示せず)を持つ。このこと以外は従来の技術と同じである。管理端末2は、スイッチをONにすると情報配布モードになり、参加情報フレームを送信し、スイッチをOFFにすると通常モードになり、参加情報フレームを送信しないようにする。端末1aは、スイッチをONにすると参加情報設定モードになり、参加情報フレームを受信すると、その参加情報フレーム内に格納されているSSIDと秘密鍵を設定し、スイッチをOFFにすると通常モードになり、参加情報フレームを受信しても、入手されたSSIDと秘密鍵を設定しないようにしている。
【0049】
このように構成された通信システムについて、その動作を図2、図3を用いて説明する。図3は、管理端末2が管理している媒体への参加をまだ許可されていない端末1aが初めて管理端末2に暗号化されたデータを送る場合の端末1aと管理端末2との間のフレーム交換を示す。図3では管理端末2と端末1aとの間でのみフレーム交換が行われるので、全て無線通信路3aが使用される。図3において、Authentication1フレーム、Authentication2フレーム、Authentication3フレーム、Authentication4フレーム、Association requestフレーム、Association responseフレーム、DataフレームおよびACKフレームは従来の技術で説明した同じ名前のものと同じである。
【0050】
管理端末2のスイッチがONにされると、管理端末2は、フレーム種別として参加情報フレームであることを示す情報とブロードキャストに設定された宛先アドレスとをフレーム5のMACヘッダ6に格納し、暗号化されていないFrame body7にSSIDと秘密鍵を格納した参加情報フレームを送信する。その後、管理端末2のスイッチはOFFにされ、参加情報フレームを送信することはない。参加情報フレームが受信された時に端末1aのスイッチがONにされていると、参加情報フレームを受信した端末1aは、Frame body7からSSIDと秘密鍵を入手する。この状態は従来の技術で説明した端末1aの最初の状態と同じである。その後、管理端末2による端末1aの認証(Authentication1フレーム、Authentication2フレーム、Authentication3フレームおよびAuthentication4フレームを用いて行う認証)、管理端末2による端末1aとの接続条件交渉(Association requestフレームおよびAssociation responseフレームを用いて行う接続条件交渉)および端末1aから管理端末2へのデータ受け渡し(DataフレームおよびACKフレームを用いて行うデータ受け渡し)を行うことができる。参加情報フレームが受信された時に端末1bのスイッチがOFFならば、管理端末2からの参加情報フレームを受信しても、端末1aはSSIDと秘密鍵を入手しないので、端末1aはAuthentication1フレームを送信せず、従って管理端末2と端末1aとの一連の認証および接続条件交渉は行われない。
【0051】
なお、本実施の形態では、端末のモード切り替えを行うためのスイッチがあるような場合について説明したが、本発明はスイッチに限定するものではなく、モード切り替えをできるものであれば何でもよいことは言うまでもない。
【0052】
以上のように本実施の形態によれば、参加情報フレームを受信した端末1aが前記参加情報フレームの内容を参加情報に設定する参加情報設定モードと前記参加情報に設定しない通常モードとを持つことにしたことより、端末1aが参加情報を設定したい時に受信した参加情報フレームの内容のみを参加情報に設定することができるので、端末1aに参加情報が既に設定されている場合に、他の媒体を管理する管理端末が他の端末に対して送信した参加情報フレームを受信した端末が参加情報を変更することがないようにすることができる。
【0053】
(実施の形態5)
図6は、本発明の実施の形態5による通信システムを示す構成図である。
【0054】
図6において、端末1a、1b、管理端末2、無線通信路3a、3b、3cは図1と同様のものなので、同一符号を付し、説明は省略する。4aは管理端末2の通常時の通信範囲を示す通常通信範囲であり、4bは管理端末2の送信パワーを最小にした場合の通信範囲を示す縮小通信範囲であり、この縮小通信範囲において管理端末2からのフレームは端末1aおよび端末1bで受信可能である。本実施の形態においては、端末1aはSSIDと秘密鍵を入力するデータ入力部を持たず、また、管理端末2は参加情報フレームの送信の開始および停止を行うためのスイッチ(図示せず)を持つ。このこと以外は従来の技術と同じである。管理端末2は、スイッチをONにすると、参加情報フレームを送信し、スイッチをOFFにすると参加情報フレームを送信しないようになる。
【0055】
このように構成された通信システムについて、その動作を図2、図3を用いて説明する。図3は、管理端末2が管理している媒体への参加をまだ許可されていない端末1aが初めて管理端末2に暗号化されたデータを送る場合の端末1aと管理端末2との間のフレーム交換を示す。図3では管理端末2と端末1aとの間でのみフレーム交換が行われるので、全て無線通信路3aが使用される。図3において、Authentication1フレーム、Authentication2フレーム、Authentication3フレーム、Authentication4フレーム、Association requestフレーム、Association responseフレーム、Dataフレーム及びACKフレームは従来の技術で説明した同じ名前のものと同じである。
【0056】
管理端末2のスイッチがONにされると、管理端末2は、フレーム種別として参加情報フレームであることを示す情報とブロードキャストに設定された宛先アドレスとをフレーム5のMACヘッダ6に格納し、暗号化されていないFrame body7にSSIDと秘密鍵を格納した参加情報フレームを最小パワーで送信する。その後、管理端末2のスイッチはOFFにされ、参加情報フレームを送信することはない。縮小通信範囲4b内に端末1aが存在するので、参加情報フレームを端末1aは受信可能である。参加情報フレームを受信した端末1aはFrame body7からSSIDと秘密鍵を入手する。この状態は従来の技術で説明した端末1aの最初の状態と同じである。その後、管理端末2による端末1aの認証(Authentication1フレーム、Authentication2フレーム、Authentication3フレームおよびAuthentication4フレームを用いて行う認証)、管理端末2による端末1aとの接続条件交渉(Association requestフレームおよびAssociation responseフレームを用いて行う接続条件交渉)および端末1aから管理端末2へのデータ受け渡し(Dataフレーム及びACKフレームを用いて行うデータ受け渡し)を行うことができる。
【0057】
なお、本実施の形態では、端末1aが管理端末2の最小送信パワーで送信した参加情報フレームを受信可能な場合について説明したが、最小送信パワーで送信した参加情報フレームを受信不可能な場合には、端末1aからのAuthentication1フレームの受信がないと確認した管理端末2が徐々に送信パワーを大きくして参加情報フレームを送信すればよいことは言うまでもない。また、端末1aが移動可能な場合には、参加情報フレームを受信する時に管理端末2の最小送信パワーで受信可能な領域に端末1aが移動すればよいことは言うまでもない。更に、参加情報フレームを管理端末2が送信する場合を説明したが、既に管理端末2に媒体への参加が許可されている端末が参加情報フレームを送信する場合にも送信パワーを小さくすればよいことは言うまでもない。
【0058】
以上のように本実施の形態によれば、媒体が無線の場合に、参加情報フレームの送信時に送信パワーを小さくして送信することにより、通信可能な最小の送信パワーで参加情報フレームを送信することができるので、空間的に参加情報フレームが盗聴される機会を減らすことができる。
【0059】
(実施の形態6)
本発明の実施の形態6による通信システムの構成は従来と同様、図1に示す構成図である。本実施の形態においては、端末1aはSSIDと秘密鍵を入力するデータ入力部を持たず、また、管理端末2はモード切り替えを行うためのスイッチ(図示せず)を持つ。このこと以外は従来の技術と同じである。管理端末2は、スイッチをONにすると情報配布モードになり、参加情報フレームを送信し、スイッチをOFFにすると通常モードになり、参加情報フレームを送信しないようになる。また、管理端末2には、媒体へのアクセスを許可する端末のフレーム5内のMACヘッダ6に含まれる送信元アドレスをアクセス許可テーブルに保持している。
【0060】
このように構成された通信システムについて、その動作を図2、図3を用いて説明する。図3は、管理端末2が管理している媒体への参加をまだ許可されていない端末1aが初めて管理端末2に暗号化されたデータを送る場合の端末1aと管理端末2との間のフレーム交換を示す。図3では管理端末2と端末1aとの間でのみフレーム交換が行われるので、全て無線通信路3aが使用される。図3において、Authentication1フレーム、Authentication2フレーム、Authentication3フレーム、Authentication4フレーム、Association requestフレーム、Association responseフレーム、Dataフレーム及びACKフレームは従来の技術で説明した同じ名前のものと同じである。
【0061】
管理端末2のスイッチがONにされると、管理端末2は、フレーム種別として参加情報フレームであることを示す情報とブロードキャストに設定された宛先アドレスとをフレーム5のMACヘッダ6に格納し、暗号化されていないFrame body7にSSIDと秘密鍵を格納した参加情報フレームを送信する。その後、管理端末2のスイッチはOFFにされ、参加情報フレームを送信することはない。参加情報フレームを受信した端末1aは、Frame body7からSSIDと秘密鍵を入手する。その後、端末1aは、管理端末2へ認証シーケンス開始要求を知らせるAuthentication1フレームを送信する。管理端末2は、受信したAuthentication1フレームのMACヘッダ6内の送信元アドレスがアクセス許可テーブルに無ければ、Authentication1フレームを破棄し、アクセス許可テーブルにあれば、Authentication2フレームを端末1aに送信し、端末1aの認証シーケンスを続ける。その後、管理端末2による端末1aの認証シーケンスの残り(Authentication3フレームおよびAuthentication4フレームを用いて行う認証)、管理端末2による端末1aとの接続条件交渉(Association requestフレームおよびAssociation responseフレームを用いて行う接続条件交渉)を行い、管理端末2へのデータ受け渡し(DataフレームおよびACKフレームを用いて行うデータ受け渡し)を行うことができる。
【0062】
なお、本実施の形態では、管理端末2は媒体への参加を許可したり禁止する判別データとして送信元アドレスを用いたが、端末が設定可能な固有な情報をMACヘッダ6やFrame body7に格納し、その情報を管理端末2が用いてもよいことは言うまでもない。
【0063】
以上のように本実施の形態によれば、管理端末2が管理する媒体に参加させる端末を端末の固有情報を用いて判別することにより、管理端末2が媒体に参加させる端末を制限することができるので、媒体のセキュリティを強化することができる。
【0064】
(実施の形態7)
本発明の実施の形態7による通信システムの構成は従来と同様、図1に示す構成図である。本実施の形態においては、端末1aはSSIDと秘密鍵を入力するデータ入力部を持たず、また、管理端末2はモード切り替えを行うためのスイッチ(図示せず)を持つ。このこと以外は従来の技術と同じである。管理端末2は、スイッチをONにすると情報配布モードになり、参加情報フレームを送信し、スイッチをOFFにすると通常モードになり、参加情報フレームを送信しないようになる。また、管理端末2は参加情報フレームのFrame Body7を暗号化するために使用する鍵として端末1aのシリアル番号を保持している。
【0065】
このように構成された通信システムについて、その動作を図2、図3を用いて説明する。図3は、管理端末2が管理している媒体への参加をまだ許可されていない端末1aが初めて管理端末2に暗号化されたデータを送る場合の端末1aと管理端末2との間のフレーム交換を示す。図3では管理端末2と端末1aとの間でのみフレーム交換が行われるので、全て無線通信路3aが使用される。図3において、Authentication1フレーム、Authentication2フレーム、Authentication3フレーム、Authentication4フレーム、Association requestフレーム、Association responseフレーム、Dataフレーム及びACKフレームは従来の技術で説明した同じ名前のものと同じである。
【0066】
管理端末2のスイッチがONにされると、管理端末2は、フレーム種別として参加情報フレームであることを示す情報とブロードキャストに設定された宛先アドレスとをフレーム5のMACヘッダ6に格納し、SSIDと秘密鍵とを格納すると共に端末1aのシリアル番号を鍵として暗号化したFrame body7を持つ参加情報フレームを送信する。その後、管理端末2のスイッチはOFFにされ、参加情報フレームを送信することはない。参加情報フレームを受信した端末1aは、暗号化されたFrame body7を自分のシリアル番号を鍵として復号してSSIDと秘密鍵とを入手する。この状態は従来の技術で説明した端末1aの最初の状態と同じである。その後、管理端末2による端末1aの認証(Authentication1フレーム、Authentication2フレーム、Authentication3フレームおよびAuthentication4フレームを用いて行う認証)、管理端末2による端末1aとの接続条件交渉(Association requestフレームおよびAssociation responseフレームを用いて行う接続条件交渉)および端末1aから管理端末2へのデータ受け渡し(DataフレームおよびACKフレームを用いて行うデータ受け渡し)を行うことができる。
【0067】
なお、本実施の形態では、管理端末2が参加情報フレームのFrame body7を暗号化する鍵として端末のシリアル番号を用いたが、端末が設定可能な固有な情報を鍵として管理端末2が用いてもよいことは言うまでもない。
【0068】
以上のように本実施の形態によれば、管理端末2が参加情報フレームの送信時に参加情報を端末の固有情報を用いて暗号化することにより、管理端末2が媒体に参加させたい端末だけが参加情報を復号することができるので、参加を意図していない端末に参加情報を知られる確率を減らすことができる。
【0069】
【発明の効果】
以上説明したように本発明によれば、管理端末は無線通信路を管理するものであって、参加情報配布モード要求フレームを、無線通信路を介して第1の端末から受信する受信手段と、受信手段が参加情報配布モード要求フレームを受信した場合に、第1の端末と異なる第2の端末を無線通信路に参加させるために必要な情報を含む参加情報フレームを、無線通信路を介して第2の端末に送信することより、端末が管理端末を介して参加情報フレームを送信することができるので、管理端末自身が操作困難な場所に設置されている場合でも、セキュリティを確保した媒体へのアクセスを行うことができ、なおかつ、新しい端末を媒体に参加させる時にだけ参加情報配布モードにして参加情報フレームを送信するので、時間的に参加情報フレームが盗聴される機会を減らすことができる。
【図面の簡単な説明】
【図1】一般的な通信システムを示す構成図
【図2】一般的な通信システムにおけるデータリンク層のフレーム構成を示すデータ構成図
【図3】本発明の実施の形態1、4、5、6、7による通信システムの動作を示すシーケンス図
【図4】本発明の実施の形態2による通信システムの動作を示すシーケンス図
【図5】本発明の実施の形態3による通信システムの動作を示すシーケンス図
【図6】本発明の実施の形態5による通信システムを示す構成図
【図7】従来の通信システムの動作を示すシーケンス図
【符号の説明】
1a、1b 端末
2 管理端末
3a、3b、3c 無線通信路
4a 通常通信範囲
4b 縮小通信範囲[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a communication system including a management terminal that manages a medium such as a wireless communication path and a terminal.
[0002]
[Prior art]
In IEEE 802.11, which is the most popular wireless LAN standard, an SSID indicating the same group as a security and a secret key for encryption and decryption can be set for each terminal.
[0003]
Hereinafter, a conventional communication system will be described with reference to FIGS.
[0004]
FIG. 1 is a configuration diagram illustrating a general communication system, FIG. 2 is a data configuration diagram illustrating a frame configuration of a data link layer in the general communication system, and FIG. 7 is a sequence diagram illustrating an operation of a conventional communication system. is there.
[0005]
In FIG. 1, 1a and 1b are terminals, and 2 is a management terminal for connecting a wired LAN and a wireless LAN to manage the wireless LAN. Although not depicted in the figure, the management terminal 2 is connected to a wired LAN. Reference numerals 3a, 3b, and 3c indicate wireless communication paths (mediums) that are not actually visible, but 3a indicates a wireless communication path between the terminal 1a and the management terminal 2, and 3b indicates a terminal 1b and a management terminal. 2 is a wireless communication path between the terminal 1a and the terminal 1b. However, in IEEE 802.11, when the management terminal 2 manages the communication system, the wireless communication path 3c is not actually used. In FIG. 2, 5 is a frame in the data link layer of IEEE 802.11, 6 is what kind of frame is being encrypted, a MAC (Medium Access Control) header indicating a destination address, a source address, etc. 7 is a frame body in which the contents of the actual frame are stored and encrypted according to the contents of the MAC header 6, and 8 is a MAC header for confirming the validity of the contents of the MAC header 6 and the frame body 7. 6 and FCS (Frame Check Sequence) which is a 32-bit CRC (Cyclic Redundancy Code) calculated from Frame body7. FIG. 7 shows a frame between the terminal 1a and the management terminal 2 when the terminal 1a not yet permitted to participate in the medium managed by the management terminal 2 sends encrypted data to the management terminal 2 for the first time. Indicates exchange.
[0006]
A conventional frame exchange sequence will be described below.
[0007]
In order for the terminal 1a to send data to the management terminal 2, authentication of the terminal 1a by the management terminal 2 (authentication), connection condition negotiation (association) with the terminal 1a by the management terminal 2, and data from the terminal 1a to the management terminal 2 Three steps of delivery are required. In these steps, frames are exchanged between the management terminal 2 and the terminal 1a, and the wireless communication path 3a is used.
[0008]
Authentication that enables encryption includes the following four steps. First, an Authentication 1 frame for notifying an authentication sequence start request is transmitted from the terminal 1a to the management terminal 2. The management terminal 2 that has received the Authentication 1 frame transmits an Authentication 2 frame obtained by encrypting a part of the Frame body 7 with the secret key to the terminal 1 a. The terminal 1a that has received the Authentication 2 frame transmits to the management terminal 2 an Authentication 3 frame in which a result of decrypting a part of the frame body 7 encrypted in the Authentication 2 frame with a secret key is stored in a part of the frame body 7 in the Authentication 3 frame. The management terminal 2 that has received the Authentication 3 frame transmits an Authentication 4 frame indicating success or failure of decoding to the terminal 1a. The terminal 1a that has received the Authentication 4 frame indicating the successful decoding starts the connection condition negotiation.
[0009]
The connection condition negotiation has the following two steps. An association request frame having a frame body 7 storing a connection condition and an SSID indicating a group managed by the management terminal 2 is transmitted from the terminal 1 a to the management terminal 2. The management terminal 2 that has received the Association request frame confirms the SSID and confirms the connection conditions. Then, an association response frame having a frame body 7 storing information indicating whether the connection condition negotiation is successful or unsuccessful and the accepted connection condition is transmitted to the terminal 1a. The terminal 1a that has received the association response frame indicating the successful connection condition negotiation starts data transfer to the management terminal 2.
[0010]
There are the following two steps for data transfer. A Data frame is transmitted in which the data encrypted from the terminal 1a to the management terminal 2 with the secret key is stored in the Frame body 7. The management terminal 2 that has received the Data frame receives the data correctly when the FCS calculated from the received MAC header 6 and the frame body 7 and the received FCS 8 are the same, and the received frame body 7 is correctly decoded. An ACK frame indicating this is transmitted to the terminal 1a.
[0011]
In addition, in order to provide a communication system with an encryption function that can realize easy and reliable secrecy at a low price, there are some in which an IC card for encryption and an IC card for decryption are detachable from each communication device. (For example, see Patent Document 1).
[0012]
[Patent Document 1]
JP 05-110873 A
[0013]
[Problems to be solved by the invention]
However, in the above-described conventional communication system, the terminal having the data input part (data input part) can set the SSID and the secret key, so that access to the medium can be performed, but it is removable. A terminal that does not have a data input unit including a simple card cannot set an SSID and a secret key, and thus has a problem in that it cannot access a medium.
[0014]
In this communication system, it is required that a terminal without a data input unit can access a security-secured medium.
[0015]
In order to satisfy this requirement, an object of the present invention is to provide a communication system in which even a terminal without a data input unit can access a secure medium.
[0016]
In order to solve the above problems, the present invention Management terminal Is A management terminal that manages a wireless communication path, and a receiving unit that receives a participation information distribution mode request frame from the first terminal via the wireless communication path, and a reception unit that receives the participation information distribution mode request frame In addition, a participation information frame including information necessary for allowing a second terminal different from the first terminal to participate in the wireless communication path is transmitted to the second terminal via the wireless communication path. It was set as the structure to do.
[0017]
As a result, a communication system can be obtained in which a terminal without a data input unit can access a security-secured medium.
[0018]
According to the first invention Management terminal Is A management terminal that manages a wireless communication path, and a receiving unit that receives a participation information distribution mode request frame from the first terminal via the wireless communication path, and a reception unit that receives the participation information distribution mode request frame In addition, a participation information frame including information necessary for allowing a second terminal different from the first terminal to participate in the wireless communication path is transmitted to the second terminal via the wireless communication path. It is set as the structure to do.
[0019]
With this configuration, Since the terminal can transmit the participation information frame via the management terminal, even when the management terminal itself is installed in a place where it is difficult to operate, it is possible to access a secure medium, and Since the participation information frame is transmitted in the participation information distribution mode only when a new terminal joins the medium, the chance of eavesdropping on the participation information frame in time is reduced. be able to.
[0032]
Hereinafter, embodiments of the present invention will be described with reference to FIGS.
[0033]
(Embodiment 1)
The configuration of the communication system according to Embodiment 1 of the present invention is the configuration shown in FIG. In this embodiment, the terminal 1a does not have a data input unit for inputting the SSID and the secret key, and the management terminal 2 has a switch (not shown) for starting and stopping transmission of the participation information frame. Have. Other than this, it is the same as the prior art. When the switch is turned on, the management terminal 2 transmits a participation information frame, and when the switch is turned off, the management terminal 2 does not transmit the participation information frame.
[0034]
The operation of the communication system configured as described above will be described with reference to FIGS. FIG. 3 is a sequence diagram illustrating the operation of the communication system according to the first embodiment of the present invention. A terminal 1a that has not yet been permitted to participate in a medium managed by the management terminal 2 is encrypted to the management terminal 2 for the first time. The frame exchange between the terminal 1a and the management terminal 2 when sending the converted data is shown. In FIG. 3, since the frame exchange is performed only between the management terminal 2 and the terminal 1a, the wireless communication path 3a is all used. In FIG. 3, the Authentication 1 frame, the Authentication 2 frame, the Authentication 3 frame, the Authentication 4 frame, the Association request frame, the Association response frame, the Data response frame, and the ACK frame are the same as those having the same names described in the prior art.
[0035]
When the switch of the management terminal 2 is turned on, the management terminal 2 stores the information indicating that it is a participation information frame as the frame type and the destination address set to broadcast in the MAC header 6 of the frame 5 and encrypts it. A participation information frame in which the SSID and the secret key are stored is transmitted to the frame body 7 that is not converted. Thereafter, the switch of the management terminal 2 is turned off and no participation information frame is transmitted. The terminal 1b also receives the participation information frame, but since the terminal 1b also has a data input unit, the participation information frame is discarded. The terminal 1 a that has received the participation information frame obtains the SSID and the secret key from the frame body 7. This state is the same as the initial state of the terminal 1a described in the prior art. Thereafter, authentication of the terminal 1a by the management terminal 2 (authentication performed using the Authentication 1 frame, the Authentication 2 frame, the Authentication 3 frame, and the Authentication 4 frame), and a connection condition negotiation (association request frame and association response frame) with the terminal 1a by the management terminal 2 Connection condition negotiation) and data transfer (data transfer using Data frame and ACK frame) from the terminal 1a to the management terminal 2 can be performed.
[0036]
In the present embodiment, the case where there are two terminals has been described, but it goes without saying that the number of terminals may be any number. Further, although the case where the participation information frame is transmitted only once has been described, it goes without saying that the participation information frame may be transmitted many times until it is confirmed that the connection condition negotiation has been normally completed. Further, the case where there is a switch for starting and stopping the transmission of the participation information frame has been described. However, the present invention is not limited to the switch, and the start and stop of the transmission of the participation information frame can be controlled. Needless to say, anything can be used.
[0037]
As described above, according to the present embodiment, the management terminal 2 transmits a participation information frame including information necessary for the terminal 1a to participate in the medium, and the terminal 1a displays the content of the received participation information frame as the participation information. By setting to, even a terminal 1a without a data input unit can receive a participation information frame and set an SSID and a secret key, so that it is possible to access a medium with secured security.
[0038]
(Embodiment 2)
The configuration of the communication system according to the second embodiment of the present invention is the configuration shown in FIG. In the present embodiment, the terminal 1a does not have a data input unit for inputting an SSID and a secret key, and the terminal 1b has a mode switching request program that can transmit a participation information distribution mode request frame and a normal mode request frame. Have. Other than this, it is the same as the prior art.
[0039]
The operation of the communication system configured as described above will be described with reference to FIGS. FIG. 4 is a sequence diagram showing the operation of the communication system according to the second embodiment of the present invention. A terminal 1a that has not yet been permitted to participate in a medium managed by the management terminal 2 is encrypted to the management terminal 2 for the first time. 3 illustrates frame exchange between the terminal 1a and the management terminal 2 and between the terminal 1b and the management terminal 2 in the case of sending the converted data. In FIG. 4, since frame exchange is performed between the management terminal 2 and the terminal 1a and between the terminal 1b and the management terminal 2, the wireless communication path 3a and the wireless communication path 3b are used. In FIG. 4, an Authentication 1 frame, an Authentication 2 frame, an Authentication 3 frame, an Authentication 4 frame, an Association request frame, an Association response frame, a Data frame, and an ACK frame are the same as those having the same names described in the prior art.
[0040]
Using the mode switching request program, the terminal 1b sets information indicating that it is a participation information distribution mode request frame as the frame type in the MAC header 6 of the frame 5, and sets a destination address with the destination as the management terminal 2. When the set participation information distribution mode request frame is transmitted, the management terminal 2 that has received this frame uses information indicating that it is a participation information frame as the frame type and the destination address set to broadcast as the MAC of frame 5. A participation information frame stored in the header 6 and storing the SSID and the secret key in the unencrypted Frame body 7 is transmitted. The participation information frame can also be received by the terminal 1b, and the terminal 1b that has confirmed the transmission of the participation information frame has information indicating that it is a normal mode request frame as a frame type, a destination address set in the management terminal 2, and Is transmitted in the normal mode request frame stored in the MAC header 6 of the frame 5, and the management terminal 2 that has normally received the normal mode request frame does not transmit the participation information frame thereafter. The terminal 1 a that has received the participation information frame obtains the SSID and the secret key from the frame body 7. This state is the same as the initial state of the terminal 1a described in the prior art. Thereafter, authentication of the terminal 1a by the management terminal 2 (authentication performed using the Authentication 1 frame, the Authentication 2 frame, the Authentication 3 frame, and the Authentication 4 frame), and a connection condition negotiation (association request frame and association response frame) with the terminal 1a by the management terminal 2 Connection condition negotiation) and data transfer (data transfer using Data frame and ACK frame) from the terminal 1a to the management terminal 2 can be performed.
[0041]
In the present embodiment, the case has been described where the terminal 1b uses a mode switching request program capable of transmitting a participation information distribution mode request frame and a normal request frame. However, the present invention is limited to the use of the mode switching request program. Needless to say, anything that can transmit the participation information distribution mode request frame and the normal request frame can be used.
[0042]
As described above, according to the present embodiment, when the terminal 1b capable of accessing the medium transmits a participation information distribution mode request frame that requests the management terminal 2 to enter the participation information distribution mode, the participation information The management terminal 2 that has received the distribution mode request frame is in the participation information distribution mode, and when the normal mode request frame that requests the management terminal 2 to enter the normal mode is transmitted, the management terminal 2 that has received the normal mode request frame Since the terminal 1b can transmit a participation information frame via the management terminal 2 even when the management terminal 2 itself is installed in a place where it is difficult to operate by entering the normal mode, a terminal without a data input unit 1a can also access security-enhanced media and only distribute participation information when new terminals join the media. And transmits the participation information frame in the over-de, can reduce the chance of temporally participation information frame eavesdropping.
[0043]
(Embodiment 3)
The configuration of the communication system according to Embodiment 3 of the present invention is the configuration shown in FIG. In the present embodiment, the terminal 1a does not have a data input unit for inputting an SSID and a secret key, and the terminal 1b has a participation information distribution program capable of transmitting a participation information frame. Other than this, it is the same as the prior art.
[0044]
The operation of the communication system configured as described above will be described with reference to FIG. 2, FIG. 3, and FIG. FIG. 5 is a sequence diagram illustrating the operation of the communication system according to the third embodiment of the present invention. A terminal 1a that has not yet been permitted to participate in the medium managed by the management terminal 2 is encrypted to the management terminal 2 for the first time. 3 shows frame exchange between the terminal 1a and the management terminal 2 and between the terminal 1a and the terminal 1b in the case of sending the converted data. In FIG. 5, since frame exchange is performed between the management terminal 2 and the terminal 1a and between the terminal 1a and the terminal 1b, the wireless communication path 3a and the wireless communication path 3c are used. In FIG. 5, an Authentication 1 frame, an Authentication 2 frame, an Authentication 3 frame, an Authentication 4 frame, an Association request frame, an Association response frame, a Data frame, and an ACK frame are the same as those having the same names described in the related art.
[0045]
Since the terminal 1b is already permitted to participate in the medium from the management terminal 2, the terminal 1b knows the contents of the SSID and the secret key. The terminal 1b uses the participation information distribution program to store the information indicating that it is a participation information frame as a frame type and the destination address set to broadcast in the MAC header 6 of the frame 5 and is not encrypted. A participation information frame storing the SSID and the secret key is transmitted to Frame body7. The terminal 1 a that has received the participation information frame obtains the SSID and the secret key from the frame body 7. This state is the same as the initial state of the terminal 1a described in the prior art. Thereafter, authentication of the terminal 1a by the management terminal 2 (authentication performed using the Authentication 1 frame, the Authentication 2 frame, the Authentication 3 frame, and the Authentication 4 frame), and a connection condition negotiation (association request frame and association response frame) with the terminal 1a by the management terminal 2 Connection condition negotiation) and data transfer (data transfer using Data frame and ACK frame) from the terminal 1a to the management terminal 2 can be performed.
[0046]
In the present embodiment, the case where the terminal 1b uses a participation information distribution program capable of transmitting a participation information frame has been described. However, the present invention is not limited to the use of the participation information distribution program. It goes without saying that anything can be sent.
[0047]
As described above, according to the present embodiment, the communication system includes a management terminal that manages a medium such as a wireless communication channel and a plurality of terminals that are managed by the management terminal. The terminal 1b transmits a participation information frame including information necessary for participating in the medium to the terminal 1a having no data input unit in the terminal, and the terminal 1a sets the content of the received participation information frame as the participation information. Thus, even when the management terminal 2 itself is installed in a place where it is difficult to operate, the terminal 1b already participating in the medium can transmit the participation information frame, and even the terminal 1a without the data input unit can participate in the participation information. Since the participation information to the medium can be set by receiving the frame, it is possible to access the medium with secured security, and the terminal 1 that has already participated in the medium. Since transmits only participation information frame when to participate in the new terminal the medium, it is possible to reduce the chance of temporally participation information frame eavesdropping.
[0048]
(Embodiment 4)
The configuration of the communication system according to Embodiment 4 of the present invention is the configuration shown in FIG. In the present embodiment, the terminal 1a does not have a data input unit for inputting an SSID and a secret key, the management terminal 2 has a switch (not shown) for mode switching, and the terminal 1a switches the mode. It has a switch (not shown) for performing. Other than this, it is the same as the prior art. When the switch is turned on, the management terminal 2 enters the information distribution mode and transmits a participation information frame. When the switch is turned off, the management terminal 2 enters the normal mode and does not transmit the participation information frame. The terminal 1a enters the participation information setting mode when the switch is turned on, sets the SSID and secret key stored in the participation information frame when receiving the participation information frame, and enters the normal mode when the switch is turned off. Even when the participation information frame is received, the obtained SSID and secret key are not set.
[0049]
The operation of the communication system configured as described above will be described with reference to FIGS. FIG. 3 shows a frame between the terminal 1a and the management terminal 2 when the terminal 1a not yet permitted to participate in the medium managed by the management terminal 2 sends encrypted data to the management terminal 2 for the first time. Indicates exchange. In FIG. 3, since the frame exchange is performed only between the management terminal 2 and the terminal 1a, the wireless communication path 3a is all used. In FIG. 3, the Authentication 1 frame, the Authentication 2 frame, the Authentication 3 frame, the Authentication 4 frame, the Association request frame, the Association response frame, the Data response frame, and the ACK frame are the same as those having the same names described in the prior art.
[0050]
When the switch of the management terminal 2 is turned on, the management terminal 2 stores the information indicating that it is a participation information frame as the frame type and the destination address set to broadcast in the MAC header 6 of the frame 5 and encrypts it. A participation information frame in which the SSID and the secret key are stored is transmitted to the frame body 7 that is not converted. Thereafter, the switch of the management terminal 2 is turned off and no participation information frame is transmitted. If the switch of the terminal 1a is turned on when the participation information frame is received, the terminal 1a that has received the participation information frame obtains the SSID and the secret key from the frame body 7. This state is the same as the initial state of the terminal 1a described in the prior art. Thereafter, authentication of the terminal 1a by the management terminal 2 (authentication performed using the Authentication 1 frame, the Authentication 2 frame, the Authentication 3 frame, and the Authentication 4 frame), and a connection condition negotiation (association request frame and association response frame) with the terminal 1a by the management terminal 2 Connection condition negotiation) and data transfer (data transfer using Data frame and ACK frame) from the terminal 1a to the management terminal 2 can be performed. If the switch of the terminal 1b is OFF when the participation information frame is received, the terminal 1a does not obtain the SSID and the secret key even if the participation information frame is received from the management terminal 2, so the terminal 1a transmits the Authentication 1 frame. Therefore, a series of authentication and connection condition negotiation between the management terminal 2 and the terminal 1a is not performed.
[0051]
In this embodiment, the case where there is a switch for switching the mode of the terminal has been described. However, the present invention is not limited to the switch, and any device that can switch the mode may be used. Needless to say.
[0052]
As described above, according to the present embodiment, the terminal 1a that has received the participation information frame has the participation information setting mode in which the content of the participation information frame is set in the participation information and the normal mode in which the content is not set in the participation information. Therefore, only the contents of the participation information frame received when the terminal 1a wants to set the participation information can be set as the participation information. Therefore, when the participation information is already set in the terminal 1a, other media It is possible to prevent the terminal that has received the participation information frame transmitted from the management terminal that manages to the other terminals from changing the participation information.
[0053]
(Embodiment 5)
FIG. 6 is a block diagram showing a communication system according to Embodiment 5 of the present invention.
[0054]
In FIG. 6, the terminals 1a and 1b, the management terminal 2, and the wireless communication paths 3a, 3b, and 3c are the same as those in FIG. 4a is a normal communication range indicating the normal communication range of the management terminal 2, and 4b is a reduced communication range indicating the communication range when the transmission power of the management terminal 2 is minimized. In this reduced communication range, the management terminal 2 can be received by the terminal 1a and the terminal 1b. In this embodiment, the terminal 1a does not have a data input unit for inputting the SSID and the secret key, and the management terminal 2 has a switch (not shown) for starting and stopping transmission of the participation information frame. Have. Other than this, it is the same as the prior art. When the switch is turned on, the management terminal 2 transmits a participation information frame, and when the switch is turned off, the management terminal 2 does not transmit the participation information frame.
[0055]
The operation of the communication system configured as described above will be described with reference to FIGS. FIG. 3 shows a frame between the terminal 1a and the management terminal 2 when the terminal 1a not yet permitted to participate in the medium managed by the management terminal 2 sends encrypted data to the management terminal 2 for the first time. Indicates exchange. In FIG. 3, since the frame exchange is performed only between the management terminal 2 and the terminal 1a, the wireless communication path 3a is all used. In FIG. 3, an Authentication 1 frame, an Authentication 2 frame, an Authentication 3 frame, an Authentication 4 frame, an Association request frame, an Association response frame, a Data frame, and an ACK frame are the same as those having the same names described in the related art.
[0056]
When the switch of the management terminal 2 is turned on, the management terminal 2 stores the information indicating that it is a participation information frame as the frame type and the destination address set to broadcast in the MAC header 6 of the frame 5 and encrypts it. The participation information frame in which the SSID and the secret key are stored in the frame body 7 that is not converted is transmitted with the minimum power. Thereafter, the switch of the management terminal 2 is turned off and no participation information frame is transmitted. Since the terminal 1a exists in the reduced communication range 4b, the terminal 1a can receive the participation information frame. The terminal 1 a that has received the participation information frame obtains the SSID and the secret key from the frame body 7. This state is the same as the initial state of the terminal 1a described in the prior art. Thereafter, authentication of the terminal 1a by the management terminal 2 (authentication performed using the Authentication 1 frame, the Authentication 2 frame, the Authentication 3 frame, and the Authentication 4 frame), and a connection condition negotiation (association request frame and association response frame) with the terminal 1a by the management terminal 2 Connection condition negotiation) and data transfer (data transfer using Data frame and ACK frame) from the terminal 1a to the management terminal 2 can be performed.
[0057]
In this embodiment, the case where the terminal 1a can receive the participation information frame transmitted with the minimum transmission power of the management terminal 2 has been described. However, when the participation information frame transmitted with the minimum transmission power cannot be received. Needless to say, the management terminal 2 that has confirmed that the Authentication 1 frame has not been received from the terminal 1a may gradually increase the transmission power and transmit the participation information frame. Needless to say, if the terminal 1a can move, the terminal 1a may move to an area where the management information terminal 2 can receive with the minimum transmission power when receiving the participation information frame. Furthermore, although the case where the management information terminal 2 transmits the participation information frame has been described, the transmission power may be reduced even when a terminal that is already permitted to participate in the medium to the management terminal 2 transmits the participation information frame. Needless to say.
[0058]
As described above, according to the present embodiment, when the medium is wireless, the participation information frame is transmitted with the minimum transmission power that can be communicated by transmitting with a reduced transmission power when transmitting the participation information frame. Therefore, it is possible to reduce the chance that the participation information frame is eavesdropped spatially.
[0059]
(Embodiment 6)
The configuration of the communication system according to Embodiment 6 of the present invention is the same as that shown in FIG. In the present embodiment, the terminal 1a does not have a data input unit for inputting an SSID and a secret key, and the management terminal 2 has a switch (not shown) for mode switching. Other than this, it is the same as the prior art. When the switch is turned on, the management terminal 2 enters the information distribution mode and transmits a participation information frame. When the switch is turned off, the management terminal 2 enters the normal mode and does not transmit the participation information frame. In addition, the management terminal 2 holds a transmission source address included in the MAC header 6 in the frame 5 of the terminal that permits access to the medium in the access permission table.
[0060]
The operation of the communication system configured as described above will be described with reference to FIGS. FIG. 3 shows a frame between the terminal 1a and the management terminal 2 when the terminal 1a not yet permitted to participate in the medium managed by the management terminal 2 sends encrypted data to the management terminal 2 for the first time. Indicates exchange. In FIG. 3, since the frame exchange is performed only between the management terminal 2 and the terminal 1a, the wireless communication path 3a is all used. In FIG. 3, an Authentication 1 frame, an Authentication 2 frame, an Authentication 3 frame, an Authentication 4 frame, an Association request frame, an Association response frame, a Data frame, and an ACK frame are the same as those having the same names described in the related art.
[0061]
When the switch of the management terminal 2 is turned on, the management terminal 2 stores the information indicating that it is a participation information frame as the frame type and the destination address set to broadcast in the MAC header 6 of the frame 5 and encrypts it. A participation information frame in which the SSID and the secret key are stored is transmitted to the frame body 7 that is not converted. Thereafter, the switch of the management terminal 2 is turned off and no participation information frame is transmitted. The terminal 1 a that has received the participation information frame obtains the SSID and the secret key from the frame body 7. Thereafter, the terminal 1a transmits an Authentication 1 frame that notifies the management terminal 2 of an authentication sequence start request. If the source address in the MAC header 6 of the received Authentication1 frame is not in the access permission table, the management terminal 2 discards the Authentication1 frame, and if it is in the access permission table, sends the Authentication2 frame to the terminal 1a. Continue the authentication sequence. Thereafter, the remainder of the authentication sequence of the terminal 1a by the management terminal 2 (authentication performed using the Authentication 3 frame and the Authentication 4 frame), and the connection condition negotiation with the terminal 1a by the management terminal 2 (connection performed using the association request frame and the association response frame) Condition negotiation) and data delivery to the management terminal 2 (data delivery using a Data frame and an ACK frame) can be performed.
[0062]
In the present embodiment, the management terminal 2 uses the transmission source address as the discrimination data that permits or prohibits participation in the medium, but stores unique information that can be set by the terminal in the MAC header 6 and the frame body 7. Needless to say, the management terminal 2 may use the information.
[0063]
As described above, according to the present embodiment, it is possible to limit the terminals that the management terminal 2 participates in the medium by determining the terminals that participate in the medium managed by the management terminal 2 using the unique information of the terminal. Therefore, the security of the medium can be enhanced.
[0064]
(Embodiment 7)
The configuration of a communication system according to Embodiment 7 of the present invention is the same as that shown in FIG. In the present embodiment, the terminal 1a does not have a data input unit for inputting an SSID and a secret key, and the management terminal 2 has a switch (not shown) for mode switching. Other than this, it is the same as the prior art. When the switch is turned on, the management terminal 2 enters the information distribution mode and transmits a participation information frame. When the switch is turned off, the management terminal 2 enters the normal mode and does not transmit the participation information frame. In addition, the management terminal 2 holds the serial number of the terminal 1a as a key used for encrypting the Frame Body 7 of the participation information frame.
[0065]
The operation of the communication system configured as described above will be described with reference to FIGS. FIG. 3 shows a frame between the terminal 1a and the management terminal 2 when the terminal 1a not yet permitted to participate in the medium managed by the management terminal 2 sends encrypted data to the management terminal 2 for the first time. Indicates exchange. In FIG. 3, since the frame exchange is performed only between the management terminal 2 and the terminal 1a, the wireless communication path 3a is all used. In FIG. 3, an Authentication 1 frame, an Authentication 2 frame, an Authentication 3 frame, an Authentication 4 frame, an Association request frame, an Association response frame, a Data frame, and an ACK frame are the same as those having the same names described in the related art.
[0066]
When the switch of the management terminal 2 is turned on, the management terminal 2 stores the information indicating that it is a participation information frame as a frame type and the destination address set to broadcast in the MAC header 6 of the frame 5, and the SSID And a secret key are stored, and a participation information frame having a frame body 7 encrypted using the serial number of the terminal 1a as a key is transmitted. Thereafter, the switch of the management terminal 2 is turned off and no participation information frame is transmitted. Receiving the participation information frame, the terminal 1a decrypts the encrypted frame body 7 using its serial number as a key, and obtains the SSID and the secret key. This state is the same as the initial state of the terminal 1a described in the prior art. Thereafter, authentication of the terminal 1a by the management terminal 2 (authentication performed using the Authentication 1 frame, the Authentication 2 frame, the Authentication 3 frame, and the Authentication 4 frame), and a connection condition negotiation (association request frame and association response frame) with the terminal 1a by the management terminal 2 Connection condition negotiation) and data transfer (data transfer using Data frame and ACK frame) from the terminal 1a to the management terminal 2 can be performed.
[0067]
In this embodiment, the serial number of the terminal is used as a key for the management terminal 2 to encrypt the frame body 7 of the participation information frame. However, the management terminal 2 uses unique information that can be set by the terminal as a key. Needless to say.
[0068]
As described above, according to the present embodiment, the management terminal 2 encrypts the participation information using the unique information of the terminal when transmitting the participation information frame, so that only the terminal that the management terminal 2 wants to participate in the medium can be obtained. Since the participation information can be decoded, the probability that the participation information is known to a terminal that is not intended to participate can be reduced.
[0069]
【The invention's effect】
As described above, according to the present invention, The management terminal manages the wireless communication path, and receives the participation information distribution mode request frame from the first terminal via the wireless communication path, and the receiving means receives the participation information distribution mode request frame. In this case, the terminal transmits the participation information frame including information necessary for allowing the second terminal different from the first terminal to participate in the wireless communication path to the second terminal via the wireless communication path. Can transmit the participation information frame via the management terminal, so that even if the management terminal itself is installed in a place where it is difficult to operate, it is possible to access a secure medium, and the new Since participation information frames are sent in participation information distribution mode only when the terminal is participating in the medium, the chance of eavesdropping on the participation information frames over time is reduced. be able to.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing a general communication system.
FIG. 2 is a data configuration diagram showing a frame configuration of a data link layer in a general communication system.
FIG. 3 is a sequence diagram showing the operation of the communication system according to Embodiments 1, 4, 5, 6, and 7 of the present invention.
FIG. 4 is a sequence diagram showing an operation of the communication system according to the second embodiment of the present invention.
FIG. 5 is a sequence diagram showing an operation of the communication system according to the third embodiment of the present invention.
FIG. 6 is a block diagram showing a communication system according to a fifth embodiment of the present invention.
FIG. 7 is a sequence diagram showing the operation of a conventional communication system.
[Explanation of symbols]
1a, 1b terminal
2 management terminal
3a, 3b, 3c Wireless communication path
4a Normal communication range
4b Reduced communication range

Claims (7)

無線通信路を管理する管理端末であって、A management terminal for managing wireless communication paths,
参加情報配布モード要求フレームを、前記無線通信路を介して第1の端末から受信する受信手段と、Receiving means for receiving a participation information distribution mode request frame from the first terminal via the wireless communication path;
前記受信手段が前記参加情報配布モード要求フレームを受信した場合に、前記第1の端末と異なる第2の端末を前記無線通信路に参加させるために必要な情報を含む参加情報フレームを、前記無線通信路を介して前記第2の端末に送信する送信手段とを備えることを特徴とする管理端末。When the receiving unit receives the participation information distribution mode request frame, a participation information frame including information necessary for allowing a second terminal different from the first terminal to participate in the wireless communication path A management terminal comprising: transmission means for transmitting to the second terminal via a communication path. 前記受信手段は、更に、通常モード要求フレームを受信し、The receiving means further receives a normal mode request frame,
前記送信手段は、前記受信手段が前記通常モード要求フレームを受信した場合に、前記参加情報フレームの送信処理を停止することを特徴とする請求項1記載の管理端末。2. The management terminal according to claim 1, wherein the transmission unit stops the transmission process of the participation information frame when the reception unit receives the normal mode request frame. 前記送信手段は、前記参加情報フレームの送信処理を停止した場合に、認証フレームを、前記無線通信路を介して前記第2の端末に送信することを特徴とする請求項2記載の管理端末。3. The management terminal according to claim 2, wherein, when the transmission process of the participation information frame is stopped, the transmission unit transmits an authentication frame to the second terminal via the wireless communication path. 前記送信手段は、更に、認証フレームを、前記無線通信路を介して前記第2の端末に送信することを特徴とする請求項1記載の管理端末。The management terminal according to claim 1, wherein the transmission unit further transmits an authentication frame to the second terminal via the wireless communication path. 前記第2の端末を無線通信路に参加させるために必要な情報は、鍵情報を含み、当該鍵情報を、前記参加情報配布モード要求フレームの暗号化されていない領域に格納することを特徴とする請求項1ないし4いずれか記載の管理端末。The information necessary for causing the second terminal to participate in the wireless communication path includes key information, and the key information is stored in an unencrypted area of the participation information distribution mode request frame. The management terminal according to any one of claims 1 to 4. 前記第2の端末を無線通信路に参加させるために必要な情報は、識別情報を含み、当該識別情報を、前記参加情報配布モード要求フレームの暗号化されていない領域に格納することを特徴とする請求項1ないし5いずれか記載の管理端末。Information necessary for causing the second terminal to participate in the wireless communication path includes identification information, and the identification information is stored in an unencrypted area of the participation information distribution mode request frame. The management terminal according to claim 1. 無線通信路を管理する通信方法であって、A communication method for managing a wireless communication path,
参加情報配布モード要求フレームを、前記無線通信路を介して第1の端末から受信し、Receiving a participation information distribution mode request frame from the first terminal via the wireless communication path;
前記参加情報配布モード要求フレームを受信した場合に、前記第1の端末と異なる第2の端末を前記無線通信路に参加させるために必要な情報を含む参加情報フレームを、前記無線通信路を介して前記第2の端末に送信することを特徴とする通信方法。When the participation information distribution mode request frame is received, a participation information frame including information necessary for allowing a second terminal different from the first terminal to participate in the wireless communication path is transmitted via the wireless communication path. And transmitting to the second terminal.
JP2002360537A 2002-12-12 2002-12-12 Management terminal Expired - Fee Related JP4515024B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002360537A JP4515024B2 (en) 2002-12-12 2002-12-12 Management terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002360537A JP4515024B2 (en) 2002-12-12 2002-12-12 Management terminal

Publications (2)

Publication Number Publication Date
JP2004194045A JP2004194045A (en) 2004-07-08
JP4515024B2 true JP4515024B2 (en) 2010-07-28

Family

ID=32759589

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002360537A Expired - Fee Related JP4515024B2 (en) 2002-12-12 2002-12-12 Management terminal

Country Status (1)

Country Link
JP (1) JP4515024B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7720018B2 (en) * 2005-04-21 2010-05-18 Microsoft Corporation Low power transmission provisioning for wireless network devices

Also Published As

Publication number Publication date
JP2004194045A (en) 2004-07-08

Similar Documents

Publication Publication Date Title
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
JP4286224B2 (en) Method for secure and confidential communication used in a wireless local area network (WLAN)
US7760885B2 (en) Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same
US7310424B2 (en) Encryption key distribution and network registration system, apparatus and method
ES2816623T3 (en) Method and system for providing secure cellular-assisted communications from a plurality of ad hoc devices
US8126145B1 (en) Enhanced association for access points
JP5291200B2 (en) Method, system, and device for realizing device addition in a Wi-Fi device-to-device network
US8107630B2 (en) Apparatus and method for managing stations associated with WPA-PSK wireless network
US10659575B2 (en) Wireless communication apparatus and processing method thereby deciding a providing apparatus for providing a communication parameter for a wireless network
US7689211B2 (en) Secure login method for establishing a wireless local area network connection, and wireless local area network system
US20090276629A1 (en) Method for deriving traffic encryption key
JP2003005641A (en) Method and apparatus for authentication in wireless lan system
WO2014176743A1 (en) Method, device and system for configuring wireless terminal
JP4245972B2 (en) Wireless communication method, wireless communication device, communication control program, communication control device, key management program, wireless LAN system, and recording medium
KR20190040443A (en) Apparatus and method for creating secure session of smart meter
US7933597B2 (en) Method of registering a network, and mobile station and communication system using the same
JP4515024B2 (en) Management terminal
JP4193486B2 (en) Printing system
JP4677784B2 (en) Authentication method and system in collective residential network
JP2009033301A (en) Wireless lan terminal and its communication method
JPH0897811A (en) Data service system
JP2004064326A (en) Security holding method, its execution system, and its processing program
JP2000269951A (en) Method for verifying and delivering group cryptographic key
JPH0951575A (en) Authenticating method for mobile communication and mobile communication system
JP4556386B2 (en) Data distribution system and data distribution method used therefor

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050531

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050614

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070528

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070605

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070802

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070828

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071026

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20071105

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20071122

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20091118

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100121

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100512

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130521

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130521

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees