CN103425923A - 认证方法和无线连接装置 - Google Patents
认证方法和无线连接装置 Download PDFInfo
- Publication number
- CN103425923A CN103425923A CN2013101993500A CN201310199350A CN103425923A CN 103425923 A CN103425923 A CN 103425923A CN 2013101993500 A CN2013101993500 A CN 2013101993500A CN 201310199350 A CN201310199350 A CN 201310199350A CN 103425923 A CN103425923 A CN 103425923A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- image
- wireless connection
- connection device
- images
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种认证方法和无线连接装置。在被客户端装置利用的无线连接装置中,使用难以复制或者即使复制也不能继续使用的形式的密码,通过简单的方法对客户端装置进行认证。一个实施方式的认证方法包括如下步骤:(a)无线连接装置显示由预先以与多个字符一一的对应关系分配的图像构成的图像群;(b)客户端装置发送从所显示的图像群中指定的多个图像和该多个图像的顺序;(c)无线连接装置使用获取到的多个图像、该多个图像的顺序以及字符与图像之间的对应关系来生成字符的组;以及(d)无线连接装置根据所生成的字符的组是否与许可候选内的信息一致来进行认证。
Description
本申请基于2012年5月24日申请的申请号2012-118843的日本专利申请要求优先权,其公开的全部内容被参照引入本申请中。
技术领域
本发明涉及一种无线通信的认证技术。
背景技术
已知利用无线网络中继装置的用户为了确认是否保持有利用无线网络中继装置的权限而一般使用由字符串构成的密码进行认证。在使用密码进行认证时,广泛使用了通过输入预定的用户名和与其对应的密码来进行认证的固定式密码方式。固定式密码方式由于简便而被广泛普及,但存在密码泄漏的可能性。在固定式密码方式中,密码是字符串这样的容易复制的形式,另外,一度决定的密码长时间都不变更而继续使用。因此,当密码一旦泄漏时,有时被有恶意的第三者非法利用。
为了解决这种问题而提供难以复制的密码,在以往,已知有将总数未知的图像排列用作使用者认证的密钥的技术(例如,JP2007-094523A)。
发明内容
发明要解决的问题
在该以往的技术中,实现了使用难以复制的密码的用户认证。但是,使用户设定密码的处理烦杂,存在便利性差这样的问题。
此外,这种问题不限于无线网络中继装置对客户端装置进行认证的情况,在通过无线通信对客户端装置提供某种服务的装置对利用服务的客户端装置进行认证的情况下也同样存在。
本发明的目的在于在被客户端装置利用的无线连接装置中,使用难以复制或者即使复制也不能继续使用的形式的密码来通过简单的方法对客户端装置进行认证。
用于解决问题的方案
本发明是为了解决上述问题的至少一部分而完成的,能够作为以下的方式或应用例来实现。
根据本发明的一方面,提供一种无线连接装置对客户端装置进行认证的认证方法。该方法包括如下步骤:(a)上述无线连接装置发送用于使上述客户端装置显示图像群的信息,该图像群由预先以与多个字符中的各字符一一对应的对应关系分配的图像构成;(b)上述客户端装置向上述无线连接装置发送从上述客户端装置所显示的上述图像群中指定的多个图像和所指定的上述多个图像的顺序;(c)上述无线连接装置使用所指定的上述多个图像、所指定的上述多个图像的顺序以及上述对应关系来生成字符的组;以及(d)上述无线连接装置根据所生成的上述字符的组是否与预先存储在上述无线连接装置内的许可候选内的信息一致来进行认证。
根据这种结构,无线连接装置使客户端装置显示由与多个字符的各字符一一对应地分配的图像构成的图像群,获取从图像群中指定的多个图像和该多个图像的顺序。即,在客户端装置侧,进行从所显示的图像群中指定图像的操作即可,因此输入简单。另外,无线连接装置使用所指定的多个图像、图像的顺序以及图像与字符一一对应的对应关系来生成字符的组,根据所生成的字符的组是否与预先存储在无线连接装置内的许可候选内的信息一致来进行客户端装置的认证。即,无线连接装置能够根据从客户端装置获取到的图像这样的难以复制的形式的密码来生成字符的密码,从而进行客户端装置的认证。其结果,在被客户端装置利用的无线连接装置中,能够使用难以复制形式的密码,通过简单的方法对客户端装置进行认证。
也可以在上述步骤(b)中,获取按照打印图像从上述客户端装置所显示的上述图像群中指定的上述多个图像和上述多个图像的顺序,其中,该打印图像是将多个图像并排打印于预先配发的介质上而得到的。
根据这种结构,客户端装置能够参照并排打印有多个图像的介质来指定用于认证的信息。因此,在客户端装置侧,能够进行使用了图像这样的视觉上容易获知的信息的输入。
也可以上述图像群所包含的图像构成为包含与属于图形、动物、植物、食物、日用品中的至少一个类别的物体有关的简单的图画表现。
根据这种结构,图像构成为包含与属于图形、动物、植物、食物、日用品中的至少一个类别的物体有关的简单的图画表现,因此能够提高用户的视觉识别性。
也可以在上述步骤(b)中,获取按照打印图像从上述客户端装置所显示的上述图像群中指定的上述多个图像和上述多个图像的顺序,其中,该打印图像是以叠加了多个图像的状态打印于预先配发的介质上而得到的。
根据这种结构,客户端装置能够参照以叠加了多个图像的状态打印的介质来指定用于认证的信息。因此,在客户端装置侧,能够进行使用了图像这样的视觉上容易获知的信息的输入。并且,多个图像被叠加显示,因此能够降低介质落入第三者的手中时被非法利用的风险。
也可以上述图像群包含能够成为第一背景的第一种图像、能够成为第二背景的第二种图像以及能够成为上述第一背景与上述第二背景的分隔的第三种图像。
根据这种结构,图像是能够成为第一背景的第一种图像、能够成为第二背景的第二种图像以及能够成为上述第一背景与上述第二背景的分隔的第三种图像中的任意一个图像,因此能够提高用户对于叠加显示有多个图像的图像中的各个图像的视觉识别性。
也可以在上述步骤(c)中,上述无线连接装置通过按照所指定的上述多个图像的顺序对上述多个图像进行排序并按照上述对应关系将排序后的上述多个图像替换为字符,来生成上述字符的组。
根据这种结构,无线连接装置能够根据从客户端装置获取到的图像这样的难以复制形式的密码,来生成字符的密码。
也可以上述字符的组是由字母数字构成的列。
根据这种结构,能够将字符的组作为由字母数字构成的字符串来进行处理。
也可以上述无线连接装置是能够在多个上述客户端装置与上述无线连接装置之间中继无线通信的无线网络中继装置。
根据这种结构,能够将无线连接装置构成为无线网络中继装置。
本发明的另一方面,认证方法包括如下步骤:(a)上述无线连接装置生成多个图像组,对上述多个图像组中的各个图像组附加唯一的标识符,上述图像组由规定数量的图像构成,对各上述图像预先以一一对应的对应关系分配了字符;(b)上述无线连接装置向上述客户端装置发送用于使上述客户端装置显示上述多个图像组的信息;(c)上述客户端装置向上述无线连接装置发送附加于从上述客户端装置所显示的上述多个图像组中指定的一个图像组的上述标识符;(d)上述无线连接装置根据从上述客户端装置接收到的上述标识符确定所指定的上述一个图像组,使用上述对应关系生成字符的组;以及(e)上述无线连接装置根据所生成的上述字符的组是否与预先存储在上述无线连接装置内的许可候选内的信息一致来进行认证。
根据这种结构,无线连接装置使客户端装置多组显示包含规定数量的图像的图像组,接受从中指定一个图像组。即,在客户端装置侧,进行从所显示的多个图像组中指定一个图像组的操作即可,因此输入简单。另外,无线连接装置获取附加于所指定的图像组的标识符,根据获取到的标识符确定图像组,使用图像与字符一一对应的对应关系来生成字符的组,根据所生成的字符的组是否与预先存储在无线连接装置内的许可候选内的信息一致来进行认证。即,无线连接装置通过暂时附加于图像组的标识符这样的方式来获取密码,因此即使有恶意的第三者获取到流传在网络上的标识符也无法在下次的认证处理中使用。其结果,在被客户端装置利用的无线连接装置中,能够使用即使复制也不能继续使用的形式的密码来通过简单的方法对客户端装置进行认证。
也可以在上述步骤(c)中,获取附加于按照打印图像从所显示的上述多个图像组中指定的一个图像组的标识符,其中,该打印图像是将多个图像并排打印于预先配发的介质上而得到的。
根据这种结构,客户端装置能够参照并排打印有多个图像的介质来指定用于认证的信息。因此,在客户端装置侧,能够进行使用了图像这样的视觉上容易获知的信息的输入。
也可以上述多个图像组所包含的多个图像中的各个图像构成为包含与属于图形、动物、植物、食物、日用品中的至少一个类别的物体有关的简单的图画表现。
根据这种结构,图像构成为包含与属于图形、动物、植物、食物、日用品中的至少一个类别的物体有关的简单的图画表现,因此能够提高用户的视觉识别性。
也可以在上述步骤(c)中,获取附加于按照打印图像从所显示的上述多个图像组中指定的一个图像组的标识符,其中,该打印图像是以叠加了多个图像的状态打印于预先配发的介质上而得到的。
根据这种结构,客户端装置能够参照以叠加了多个图像的状态打印的介质来指定用于认证的信息。因此,在客户端装置侧,能够进行使用了图像这样的视觉上容易获知的信息的输入。并且,多个图像被叠加显示,因此能够降低介质落入第三者的手中时被非法利用的风险。
也可以上述多个图像组包含能够成为第一背景的第一种图像、能够成为第二背景的第二种图像以及能够成为上述第一背景与上述第二背景的分隔的第三种图像。
根据这种结构,图像是能够成为第一背景的第一种图像、能够成为第二背景的第二种图像以及能够成为上述第一背景与上述第二背景的分隔的第三种图像中的任意一个图像,因此能够提高用户对于叠加显示有多个图像的图像中的各个图像的视觉识别性。
也可以在上述步骤(d)中,上述无线连接装置通过根据获取到的上述标识符确定上述图像组并按照上述对应关系将包含在上述图像组中的图像替换为字符,来生成上述字符的组。
根据这种结构,无线连接装置能够以暂时附加于图像组的标识符这样的方式获取密码,根据该密码生成字符的密码。
也可以上述字符的组是字符串。
根据这种结构,能够将字符的组作为字符串来进行处理。
也可以上述无线连接装置是能够在多个上述客户端装置与上述无线连接装置之间中继无线通信的无线网络中继装置。
根据这种结构,能够将无线连接装置构成为无线网络中继装置。
根据本发明的另一方面,提供一种无线连接装置。该装置具备:向导部,其发送用于使客户端装置显示图像群的信息,该图像群由预先以与多个字符中的各字符一一对应的对应关系分配的图像构成;认证信息获取部,其获取从上述客户端装置所显示的上述图像群中指定的多个图像和所指定的上述多个图像的顺序;字符串生成部,其使用所指定的上述多个图像、所指定的上述多个图像的顺序以及上述对应关系来生成字符的组;以及认证执行部,其根据所生成的上述字符的组是否与预先存储在上述无线连接装置内的许可候选内的信息一致来进行认证。
根据本发明的另一方面,提供一种无线连接装置。该装置具备:候选生成部,其生成多个图像组,对上述多个图像组中的各个图像组附加唯一的标识符,上述图像组由规定数量的图像构成,对各上述图像预先以一一对应的对应关系分配了字符;向导部,其向客户端装置发送用于使上述客户端装置显示上述多个图像组的信息;认证信息获取部,其获取附加于从所显示的上述多个图像组中指定的一个图像组的上述标识符;字符串生成部,其根据获取到的上述标识符确定所指定的上述一个图像组,使用上述对应关系生成字符的组;以及认证执行部,其根据所生成的上述字符的组是否与预先存储在上述无线连接装置内的许可候选内的信息一致来进行认证。
此外,本发明能够通过各种形式来实现。例如,本发明能够通过认证方法和认证装置、无线网络中继装置中的认证方法和无线网络中继装置、无线网络系统、用于实现这些方法或装置的功能的计算机程序、记录了该计算机程序的非暂时的计算机可读记录介质等形式来实现。
附图说明
图1是表示使用了作为本发明的第一实施方式的无线网络中继装置的网络系统的概要结构的说明图。
图2是表示第一实施方式的接入点装置的概要结构的说明图。
图3是表示接入点装置的虚拟端口的一个例子的说明图。
图4是表示客户端装置的概要结构的说明图。
图5是表示无线通信设定处理的过程的时序图。
图6是无线通信设定处理的步骤PH1和步骤PH2的状态迁移图。
图7是表示通过加密通信来交换设定信息的情况的说明图。
图8是由接收到信标的客户端装置的OS提供的无线网络连接画面的一个例子。
图9是通过步骤S116显示于客户端装置的WEB浏览器的用户名输入画面的一个例子。
图10是通过步骤S134显示于客户端装置的WEB浏览器的设定用应用下载画面的一个例子。
图11是下载了设定用应用的客户端装置中所显示的画面的一个例子。
图12是通过步骤S190显示于客户端装置的推荐文件一览画面的一个例子。
图13是表示在简单认证处理的第一实施例中用于用户认证的ID卡的一个例子的说明图。
图14是表示简单认证处理的第一实施例的过程的时序图。
图15是表示在步骤S802中生成的对应列表的一个例子的说明图。
图16是通过步骤S808显示于客户端装置的WEB浏览器的认证画面的一个例子。
图17是表示简单认证处理的第二实施例的过程的时序图。
图18是表示在步骤S904中生成的候选的一个例子的说明图。
图19是通过步骤S908显示于客户端装置的WEB浏览器的认证画面的一个例子。
图20是表示在简单认证处理的第三实施例中用于用户认证的ID卡的一个例子的说明图。
图21是表示在简单认证处理的步骤S802中生成的对应列表的一个例子的说明图。
图22是表示在简单认证处理的第四实施例中用于用户认证的ID卡的一个例子的说明图。
图23是通过简单认证处理(图14)的步骤S808显示于客户端装置的WEB浏览器的认证画面的一个例子。
图24是表示第二实施方式中的无线通信设定处理的过程的时序图。
图25是表示第三实施方式的AP的概要结构的说明图。
图26是表示第四实施方式的AP的概要结构的说明图。
具体实施方式
A.第一实施方式:
A-1.系统的概要结构:
图1是表示使用了作为本发明的一个实施方式的无线网络中继装置的网络系统的概要结构的说明图。网络系统1000具备作为无线连接装置的无线网络中继装置10和两台客户端装置20、30。此外,下面将客户端装置简单地称为“客户端”。
本实施方式中的无线网络中继装置10是遵照了IEEE802.11的接入点装置。下面将无线网络中继装置10还称为“AP10”。AP10对客户端装置20、30的无线通信进行中继。在本实施方式中AP10还作为路由器而发挥功能,经由有线线缆连接于因特网INT。AP10支持作为自动地对客户端装置设定无线通信ID信息和加密信息的功能的以往已知的AOSS(AirStation One-Touch Secure System:一键式无线网络简单设置系统)和WPS(Wi-Fi Protected Setup:Wi-Fi保护设置)。此外,“无线通信ID信息”的意思是BSSID(Basic ServiceSet Identifier:基本服务集标识符)、ESSID(Extended Service SetIdentifier:扩展服务集标识符)、或者SSID(Service Set Identifier:服务集标识符)等ID信息、即用于建立无线通信所需的信息。“加密信息”的意思是包括表示WEP(Wired Equivalent Privacy:有线等效保密)、WPA(Wi-Fi Protected Access:Wi-Fi保护访问)或者WPA2-PSK(Wi-Fi Protected Access2Pre-Shared Key:预共享密钥的Wi-Fi保护访问)等无线LAN加密方式的信息和加密时所使用的密钥这两者的信息。
AP10支持后述的无线通信设定处理。该无线通信设定处理是一边维持AP10的安全级别即安全水准一边无需便携式存储介质且简单地对客户端装置设定无线通信ID信息和加密信息的处理。另外,AP10具备产生用于开始无线通信设定处理的触发的设定按钮120。无线通信设定处理的具体内容将在后面说明。
本实施方式中的客户端装置20是具备遵照了IEEE802.11的无线通信接口的个人计算机。下面将客户端装置20还称为“PC20”。在PC20中没有进行无线通信ID信息和加密信息的设定,在图1中还未建立与AP10之间的通信。本实施方式中的客户端装置30与PC20同样地是具备遵照了IEEE802.11的无线通信接口的个人计算机。下面将客户端装置30还称为“PC30”。在PC30中进行了无线通信ID信息和加密信息的设定,因此在图1中建立了与AP10之间的通信。
A-2.无线网络中继装置的概要结构:
图2是表示AP10的概要结构的说明图。AP10具备CPU110、设定按钮120、RAM130、无线通信接口(I/F)140、有线通信接口(I/F)150以及快闪ROM160,他们各自通过总线相互连接。
CPU110通过将保存于快闪ROM160的计算机程序在RAM130中展开来执行,从而控制AP10内的各部。CPU110实现中继处理部111、设定控制部112、限定通信部113、认证部114、标识符获取部115、限制部116、向导部117以及加密通信部118各部的功能。
中继处理部111执行将接收数据包按照目的地地址进行传送的中继处理。设定控制部112控制所有的无线通信设定处理。限定通信部113建立在无线通信设定处理中使用的临时性通信。认证部114执行作为无线通信设定处理的子例程而被执行的简单认证处理。简单认证处理是AP10使用图像、字符串来对客户端进行认证的处理。认证部114包括分配部114a、认证信息获取部114b、候选生成部114c、字符串生成部114d以及认证执行部114e。具体内容将在后面说明。标识符获取部115获取客户端的MAC地址作为分配给客户端的标识符。限制部116对无线通信设定处理中的通信进行限制。向导部117生成用于使客户端装置显示向导画面的信息并发送至客户端装置。加密通信部118在通信的对方与AP10之间建立遵照了规定的加密方式的加密通信。
设定按钮120是设置在AP10的壳体的瞬时开关,根据检测到设定按钮120被按下来开始无线通信设定处理。此外,优选的是设定按钮120由不维持按下状态的开关来实现。
无线通信接口140包括未图示的发送接收电路,具有进行经由天线接收到的电波的解调和数据的生成的功能和进行经由天线发送的电波的生成和调制的功能。有线通信接口150除了与因特网INT侧的线路进行连接之外,还通过有线线缆与成为通信的对方的设备进行连接。有线通信接口150包括未图示的PHY/MAC(PHYsicallayer/Medium Access Control layer)控制器,具有调整接收到的信号的波形的功能和从接收到的信号取出MAC帧的功能。
快闪ROM160包括证书161、设定信息162、标识符存储部163、数据库164以及许可列表165。证书161是在无线通信设定处理中使用的SSL服务器证书。设定信息162是无线通信ID信息和加密信息。标识符存储部163是用于存储由标识符获取部115获取到的客户端的标识符的存储部。
在数据库164中存储有在简单认证处理中使用的图像、字符串。许可列表165是用于在简单认证处理中认证客户端装置是正规的客户端装置的信息。在许可列表165中保存有表示AP10的PIN(Personal Identification Number)、即表示用于判断是AP10的合法的使用者的个人识别码的字符串。此外,许可列表165也可以保存有多个PIN。
另外,本实施方式的AP10支持多SSID功能。因而,AP10能够使一个物理的接入点装置作为多个逻辑的接入点即多个虚拟接入点而进行动作。AP10能够通过对每个虚拟接入点设定不同的SSID,来分别独立地控制针对虚拟接入点的连接。此外,虚拟接入点还称为“虚拟端口”。
连接到AP10的对象被限制为知道AP10的虚拟端口所设定的SSID(或者ESSID、或者BSSID)的客户端装置、换句话说,设定了与AP10的虚拟端口所设定的SSID相同的SSID的客户端装置。此外,作为用于提高安全的其它方法,AP10的中继处理部111也可以采用对包含在信标中的SSID进行加密的方式、在AP10与客户端装置连接时向客户端装置请求认证信息的方式。
图3是表示AP10的虚拟端口的一个例子的说明图。本实施方式的AP10具备三个虚拟端口VAP0~VAP2。对虚拟端口分别设定SSID的有效/无效、SSID以及通信的加密方式。对虚拟端口VAP0设定了“ABC012”这样的SSID有效、使用WPA2-PSK作为通信的加密方式。对虚拟端口VAP1设定了“4GAME”这样的SSID有效、使用WEP作为通信的加密方式。虚拟端口VAP1用于WDS(Wireless DistributionSystem:无线分布系统)中的通信。对虚拟端口VAP2设定了SSID无效、不使用加密通信。
A-3.客户端的概要结构:
图4是表示PC20的概要结构的说明图。作为客户端装置的PC20具备CPU210、RAM220、无线通信接口(I/F)230、有线通信接口(I/F)240、快闪ROM250、显示部260以及操作部270,它们各自通过总线相互连接。
CPU210通过将保存于快闪ROM250、未图示的硬盘中的计算机程序在RAM220中展开来执行,从而控制PC20内的各部。无线通信接口230包括未图示的发送接收电路,进行经由天线接收到的电波的解调和数据的生成以及经由天线发送的电波的生成和调制。有线通信接口240通过有线线缆与成为通信的对方的设备进行连接。快闪ROM250包括用于控制PC20的计算机程序(省略图示)和设定信息存储部251。设定信息存储部251是用于存储通过后述的无线通信设定处理获取到的设定信息(无线通信ID信息和加密信息)的存储部。显示部260包括未图示的显示器和显示器驱动器,具有对用户进行视觉性画面显示的功能。操作部270包括未图示的鼠标、
键盘以及它们的驱动器,具有接受来自用户的输入的功能。
A-4.无线通信设定处理:
图5是表示无线通信设定处理的过程的时序图。无线通信设定处理是一边避免AP10的安全级别的下降一边简单地并且无需便携式存储介质地使客户端设定设定信息(无线通信ID信息和加密信息)的处理。无线通信设定处理大致包含四个步骤PH1~PH4。此外,能够省略步骤PH4。
PH1:在AP与客户端装置之间建立临时性通信
PH2:AP认证客户端,使客户端接收设定用应用
PH3:在AP与客户端装置之间建立加密通信
PH4:客户端装置获取推荐文件
图6是表示无线通信设定处理的步骤PH1和步骤PH2的状态C1~C9的状态迁移图。与图5的时序图一起参照图6来说明无线通信设定处理。此外,下面例示PC20作为客户端装置。
A-4-1.步骤PH1(在AP与客户端装置之间建立临时性通信):
用户按下AP10的设定按钮120(步骤S100)。检测出设定按钮120被按下的AP10进行用于在PC20与AP10之间建立临时性通信的虚拟端口的设定(步骤S102)。具体地说,AP10的设定控制部112将虚拟端口VAP2(图3)的SSID从无效切换为有效,将该SSID的值变更为“!ABC”。被变更的SSID包含在AP10所发送的信标中而被通知给PC20。因此,接收到信标的PC20即使未预先知道该SSID为“!ABC”,也能够得知存在将SSID设为“!ABC”的AP10。此外,也可以以其它动作(例如检测到以对于AP10进行近距离通信的方式施加的开始指示)为触发,来代替以设定按钮被按下为触发,来开始无线通信设定处理。
图8是由接收到信标的PC20的操作系统提供的无线网络连接画面的一个例子。此外,以后还将操作系统称为“OS”。在无线网络连接画面W1中列表显示PC20接收到信标的多个物理接入点或者虚拟接入点的信息NE1~NE4,还显示连接按钮B11。此外,无线网络连接画面W1的显示方法优选事先设为SSID的升序(以SSID的字符代码从小到大的顺序从上段进行显示的规格)。这样,通过在步骤S102中将变更后的SSID设为“!ABC”,能够在无线网络连接画面W1上使AP10的虚拟端口VAP2显示在列表的最上段或者其附近。其结果是,用户能够在显示列表上容易地找到AP10,能够提高用户的便利性。
用户从无线网络连接画面W1手动选择将SSID设为“!ABC”的AP10并按下连接按钮B11(步骤S104)。通过按下连接按钮B11,由PC20的OS提供的无线LAN连接用的模块向AP10发送指定了所选择的SSID为“!ABC”的连接请求(步骤S106)。接收到来自PC20的连接请求的AP10的限定通信部113根据与以SSID“!ABC”识别的虚拟端口VAP2相关地预定的通信设定(即,无加密的通信设定),来在PC20与AP10之间建立非限制性且临时性通信(步骤S108)。以下,将使用SSID“!ABC”的无线连接称为“!ABC连接”。在临时性通信建立之后,限定通信部113向PC20发送表示建立了通信的意思的响应(步骤S110)。此时,无线通信设定处理的状态(图6)从开始状态C1迁移到!ABC连接状态C2。
A-4-2.步骤PH2(AP认证客户端并使客户端接收设定用应用):
以用户从PC20访问任意的WEB页面(图5的步骤S800)为触发,AP10的认证执行部114e执行简单认证处理来对PC20进行认证。简单认证处理的详细内容在“A-5.简单认证处理”中详细说明。此外,能够省略简单认证处理。此时,无线通信设定处理的状态(图6)从!ABC连接状态C2迁移到简单认证处理状态C5。另一方面,在!ABC连接状态C2中,在AP10在规定时间内(例如120秒)没有从PC20收到对WEB页面的访问请求的情况下,限定通信部113切断基于SSID“!ABC”的临时性通信。由此,无线通信设定处理的状态经由!ABC切断状态C3迁移到结束状态C4。
在简单认证处理中判定为认证不成功的情况下,限定通信部113切断基于SSID“!ABC”的临时性通信。由此,无线通信设定处理的状态(图6)经由!ABC切断状态C3迁移到结束状态C4。此外,能够省略该步骤。
在简单认证处理中判定为认证成功的情况下,AP10的标识符获取部115向PC20发送MAC地址获取请求(步骤S112)。接收到MAC地址获取请求的PC20将自身的MAC地址发送至AP10(步骤S114)。之后,标识符获取部115将接收到的MAC地址存储至标识符存储部163。此时,无线通信设定处理的状态(图6)从简单认证处理状态C5迁移到MAC地址获取状态C6。
在MAC地址获取状态C6中,只要能够获取PC20的MAC地址则也可以使用其它的方法。例如,标识符获取部115在简单认证处理中判定为认证成功的情况下,也可以设为例如存储包含于在后述的图14的步骤S812中从PC20接收到的数据包的头部中的发送源MAC地址。这样,能够省略步骤S112和S114。另外,在MAC地址获取状态C6中设为获取PC20的MAC地址,但如果是被分配给客户端的标识符,则也可以使用预先授予的ID等、例如制造序列号,而不限于MAC地址。
获取到来自PC20的MAC地址后,AP10的限制部116使用获取到的MAC地址来限制下面的经由!ABC连接进行的通信。具体地说,限制部116参照接收到的数据包的头部,将包含在头部中的发送源MAC地址与存储在标识符存储部163中的MAC地址进行对照。然后限制部116使两者一致的数据包通过,丢弃不一致的数据包。此外,还将该处理称为“过滤处理”。这样,能够将经由!ABC连接进行的通信限定为在简单认证处理中被判定为认证成功的客户端,因此能够提高无线通信设定处理的安全(机密性)。
AP10的向导部117生成用于使WEB浏览器显示引导输入PPPoE(PPP over Ethernet:以太网承载PPP协议)的用户名和密码的向导画面的信息并发送至PC20(步骤S116)。此外,也可以使用预先存储在AP10内部的默认的用户名和密码,来代替导部117引导用户输入PPPoE的用户名和密码,从而AP10自动试行PPPoE连接。
图9是通过步骤S116显示于PC20的WEB浏览器的用户名输入画面的一个例子。在用户名输入画面W2中配置有PPPoE用户名的输入用文本框T21、PPPoE密码的输入用文本框T22、取消按钮B21以及发送按钮B22。用户向文本框T21输入预先赋予的PPPoE用户名,向文本框T22输入预先赋予的PPPoE密码,并按下发送按钮B22(步骤S120)。通过按下发送按钮B22,所输入的PPPoE用户名和密码被发送至AP10(步骤S122)。
接收到PPPoE用户名和密码的AP10的设定控制部112使用获取到的用户名和密码来进行PPPoE的设定(步骤S123)。进行设定后,向导部117生成用于使WEB浏览器显示PPPoE的设定完成和引导连接指示的向导画面的信息并发送至PC20(步骤S124)。用户按照显示在WEB浏览器的引导连接指示的消息来施加连接指示,由此将连接请求发送至AP10(步骤S126、S128)。接收到PPPoE连接请求的AP10的设定控制部112按照设定内容进行PPPoE连接(步骤S130)。此时,无线通信设定处理的状态(图6)从MAC地址获取状态C6迁移到因特网连接状态C7。在因特网连接状态C7中,在连接失败的情况下实施规定时间或者规定次数的重试。
在试行PPPoE连接后,向导部117生成用于使WEB浏览器显示PPPoE连接的结果(步骤S132)和引导下载设定用应用的向导画面的信息并发送至PC20(步骤S134)。此外,在图中将设定用应用表述为“设定用应用”。
图10是通过步骤S134显示于PC20的WEB浏览器的设定用应用下载画面的一个例子。在设定用应用下载画面W3中配置有引导开始下载的链接。链接构成为显示引导开始下载的意思的消息并且通过点击链接向位于因特网上的规定的服务器发送下载请求。用户按照链接显示的消息而按下链接(步骤S136)。通过按下链接,向因特网上的规定的服务器发送下载请求(步骤S138)。
接收到下载请求的服务器从未图示的存储部搜索适用于PC20的设定用应用(步骤S140)。例如,在下载请求中包含PC20的种类、安装在PC20的OS的种类和版本的情况下,服务器能够根据这些信息来搜索专门制作出的设定用应用。服务器将搜索出的设定用应用发送至PC20,并且关闭PC20的WEB页面(步骤S142)。此时,无线通信设定处理的状态(图6)从因特网连接状态C7迁移到设定用应用下载状态C8。在设定用应用下载状态C8中,进行待机直到服务器关闭WEB页面或者WEB浏览器的会话发生超时为止。在通过服务器来关闭WEB页面的情况下,无线通信设定处理的状态迁移到SSL通信等待状态C9,在进行规定的时间(例如180秒)的待机后,经由!ABC切断状态C3迁移到结束状态C4。
此外,在设定用应用下载状态C8中,AP10使设定用应用从位于因特网上的规定的服务器下载,但也可以设为不使用因特网上的服务器的结构。例如也可以设为如下结构:在AP10的快闪ROM160或者连接于AP10的未图示的外挂存储装置(例如USB硬盘)中存储设定用应用的基础上,通过按下设定用应用下载画面W3的链接来向AP10发送下载请求。这样,能够不使用因特网上的服务器就下载设定用应用。
A-4-3.步骤PH3(在AP与客户端装置之间建立加密通信):
图11是在下载了设定用应用的PC20中显示的画面的一个例子。在下载了设定用应用的PC20中,首先通过OS显示图11的上段所示的执行确认画面W4。在执行确认画面W4中配置有用于确认是否执行程序的消息、“是”按钮B41以及“否”按钮B42。通过用户按下“是”按钮B41,PC20执行设定用应用(步骤S150)。所执行的设定用应用显示图11的下段所示的待机画面W5。待机画面W5包括表示正在建立加密通信的意思的消息。
PC20的设定用应用向AP10发送IP地址获取请求(步骤S152)。接收到IP地址获取请求的AP10的设定控制部112发送自身的IP地址(步骤S154)。此外,在步骤S152、S154中,只要PC20能够获取AP10的IP地址,则也可以使用其它的方法。例如也可以设为PC20获取包含于从AP10接收到的数据包的头部等中的IP地址而省略步骤S152、S154。
获取了AP10的IP地址的PC20的设定用应用向AP10发送SSL握手的开始请求(步骤S156)。在SSL握手的开始请求中包含PC20的SSL版本号、密码设定以及会话固有数据等。接收到SSL握手的开始请求的AP10的加密通信部118向PC20发送响应(步骤S158)。响应中包含AP10的SSL版本号、密码设定、会话固有的数据以及存储在快闪ROM160的AP10的证书161。接收到来自AP10的响应的PC20的设定用应用使用包含在响应中的信息来对AP10进行认证。由此,在AP10与PC20之间建立遵照SSL协议的加密通信。
图7是表示通过加密通信来交换设定信息的情况的说明图。在加密通信建立后,设定用应用发送用于设定信息交换的成为AP10的窗口的URL的获取请求(步骤S160)。接收到窗口URL的获取请求的AP10的加密通信部118向PC20发送窗口URL(步骤S162)。设定用应用使用SSL通信向获取到的AP10的窗口URL发送PC20的性能信息和所生成的公钥PK(步骤S164)。图7的上段表示该情况。性能信息包含表示PC20的可无线使用级别的信息(例如无线通信接口230的型号名、无线通信接口230所支持的加密方式)。
接收到PC20的性能信息的AP10的加密通信部118将根据PC20的性能信息从存储在快闪ROM160的设定信息162中的设定信息中选择的设定信息(无线通信ID信息和加密信息)发送至PC20(步骤S166)。此外,在进行该发送之前,加密通信部118如图7下段所示,使用在步骤S164中接收到的公钥PK来对设定信息进行加密。这样,利用与只有PC20保持的私钥SK成对的公钥PK对从AP10发送的设定信息进行加密,因此PC20以外的第三者即使获取到设定信息也无法解密。因而,能够使用基于公钥/私钥的保护和基于SSL通信的保护对要求高机密性的设定信息进行双重保护。
在接收到设定信息后,PC20使用包含于设定信息的无线通信ID信息和加密信息向AP10发送连接请求(步骤S170)。接收到连接请求的AP10基于所指定的无线通信ID信息和加密信息建立加密通信(步骤S172)。具体地说,例如,在AP10从PC20接收到的无线通信ID信息是分配给虚拟端口VAP0(图3)的SSID、另外加密信息包含WPA2-PSK的密钥的情况下,AP10建立使用了虚拟端口VAP0的WPA2-PSK加密通信。
A-4-4.步骤PH4(客户端装置获取推荐文件):
当建立加密通信时,设定用应用向位于因特网上的规定的服务器发送推荐文件下载用应用的下载请求(步骤S176)。下面还将推荐文件下载用应用称为“DL应用”。此外,在图中,将DL应用表述为“DL应用”。接收到DL应用的下载请求的服务器从未图示的存储部中搜索适于PC20的DL应用,将搜索出的DL应用发送至PC20(步骤S178)。详细内容与设定用应用的搜索相同。接收到DL应用的设定用应用在执行DL应用后结束处理(步骤S180)。
DL应用向AP10发送AP10的信息的获取请求(步骤S182)。接收到获取请求的AP10发送自身的信息、例如AP10的型号名、AP10的状态、AP10所能支持的加密方式(步骤S184)。接收到AP10的信息的DL应用从位于因特网上的规定的服务器获取推荐文件一览(步骤S186)。具体地说,DL应用将包含AP10的信息和PC20的信息(PC20的种类、安装在PC20的OS的种类、版本)的推荐文件的向导请求发送至服务器。服务器使用接收到的AP10的信息和PC20的信息,从未图示的存储部搜索PC20用的推荐文件,将其一览发送至PC20(步骤S188)。
此外,“推荐文件”的意思是当PC20利用AP10时向PC20推荐下载或者安装的程序。在推荐文件中例如包含AP10的用户手册、用于提高AP10的便利性的辅助软件、AP10的版本升级用软件。
DL应用显示对推荐文件一览进行向导的向导画面(步骤S190)。
图12是通过步骤S190显示于PC20的推荐文件一览画面的一个例子。在推荐文件一览画面W6中配置有推荐文件的信息P61、P62的列表显示、取消按钮B61以及下载按钮B62。用户从推荐文件一览画面W6选择希望下载的程序并按下下载按钮B62(步骤S192)。通过按下按钮,DL应用将所选择的程序的下载请求发送至服务器(步骤S194)。接收到下载请求的服务器将所选择的程序从未图示的存储部读出并发送至PC20(步骤S196)。之后,DL应用在按下取消按钮B61来关闭推荐文件一览画面W6(步骤S198)之前反复进行步骤S192和S182~S196。
如以上那样,根据第一实施方式的无线通信设定处理,AP10(无线连接装置)在PC20(客户端装置)与AP10之间建立非限制性且临时性通信(即!ABC连接),使用该!ABC连接获取PC20的标识符或者分配给PC20与AP10之间的连接的标识符(在第一实施方式中为PC20的MAC地址),在使用获取到的标识符来限制这之后的通过!ABC连接进行通信的对方的基础上,使PC20接收设定用应用(文件)。其结果,能够在提高了!ABC连接的安全的状态下向PC20发布设定用应用。并且AP10在结束了!ABC连接之后,在执行设定用应用的PC20与AP10之间建立遵照了规定的协议、即SSL的加密通信,通过该加密通信来交换性能信息和设定信息(与通信设定有关的信息),因此能够使用机密性高的加密通信来交换性能信息和设定信息。其结果是,能够在PC20与AP10之间以避免AP10的安全级别下降、简单地且在PC20中不用从便携式存储介质获取设定所需的信息的方式进行用于无线通信的通信设定。
并且,根据本实施方式的无线通信设定处理,以检测到以按下AP10的设定按钮120这样的PC20的用户直接接触的方式、或者对于AP10进行近距离通信的方式施加的开始指示为触发,开始建立AP10与PC20之间的!ABC连接(临时性通信),因此能够抑制有恶意的第三者违反用户的意图地施加开始指示。
并且,根据本实施方式的无线通信设定处理,AP10使用在PC20与AP10之间建立的!ABC连接(临时性通信)来对PC20进行认证,因此能够使用从PC20容易访问的安全级别低的!ABC连接来先对PC20进行认证。
并且,根据本实施方式的无线通信设定处理,在PC20的认证不成功的情况下AP10切断PC20与P10之间所建立的!ABC连接(临时性通信),因此无法继续之后的处理。其结果是,能够抑制由于来自有恶意的第三者的暴力攻击等而性能信息和设定信息(与通信设定有关的信息)发生泄漏的情况。
并且,根据本实施方式的无线通信设定处理,PC20获取AP10的信息、例如AP10的型号名、AP10的状态、AP10所能支持的加密方式,使用获取到的AP10的信息在PC20利用AP10时获取向PC20推荐下载的推荐文件一览,因此能够实施通信设定和推荐文件的向导这两者,能够提高用户的便利性。
A-5.简单认证处理:
下面,说明作为无线通信设定处理的子例程而执行的简单认证处理。
A-5-1.简单认证处理的第一实施例:
图13是表示在简单认证处理的第一实施例中用于用户认证的ID卡的一个例子的说明图。ID卡CD1以配套附在AP10的产品包装的方式预先发布给AP10的用户。ID卡CD1包含SSID、KEY、PIN以及ICON ID。
关于SSID,打印有表示对AP10默认设定的SSID的字符串。关于KEY,打印有表示在对AP10默认设定的加密方式中所使用的密钥的字符串。关于PIN,打印有表示用于判断是AP10的合法的使用者的个人识别码的字符串。关于ICON ID,打印有用于在简单认证处理中使用的图像P1。图像P1以多个图像相互连结的状态被打印,在图13的例子中横排显示咖啡机、咖啡杯以及熊猫的图像。
图14是表示简单认证处理的第一实施例的过程的时序图。在无线通信设定处理(图5)的步骤S800中,以用户访问任意的WEB页面为触发,开始简单认证处理。AP10的分配部114a生成对应列表(步骤S802)。
图15是表示在步骤S802中生成的对应列表的一个例子的说明图。对应列表是图像和数字以一一对应的对应关系分配的表。说明对应列表的生成方法。分配部114a(图5)对保存在许可列表165(图2)的规定位数的字符(例如PIN的后三位的数字)分配与打印在ID卡CD1的ICON ID的图像相同的图像。之后,分配部114a对剩下的七个数字分配从快闪ROM160的数据库164中随机选择的七个图像。该分配既可以按照规定的规则进行,也可以随机地进行。但是,避免所分配的图像彼此重复地分配不同的数字。
此外,在步骤S802中,分配部114a分配从数据库164选择出的图像和数字。但是,步骤S802只要将数据库164内的规定数量的图像和字符一对一地分配则能够进行各种的变形。例如,也可以分配十六个图像、“0”~“9”的数字以及“A”~“F”的英文字母。
AP10的向导部117生成用于使WEB浏览器显示认证画面的信息并发送至PC20(步骤S806)。此外,在用于显示本实施方式的认证画面的信息中包含对应列表内的图像。例如,在生成图15所示的对应列表的情况下,在用于显示认证画面的信息中包含“杯形点心的图像、咖啡机的图像、咖啡杯的图像…熊猫的图像”这样的信息。此外,优选的是为了抑制来自有恶意的第三者的窃听,向导部117将用于显示认证画面的信息进行加密来进行发送。此外,步骤S806相当于权利要求书中的步骤(a)。接收到用于显示认证画面的信息的PC20的WEB浏览器显示认证画面(步骤S808)。
图16是通过步骤S808显示于PC20的WEB浏览器上的认证画面的一个例子。在认证画面W7中配置有三个图像选择框C71、C72、C73、字符串输入用文本框T71、取消按钮B71以及发送按钮B72。图像选择框C71通过按下箭头图标来显示由在步骤S802中生成的对应列表(图15)内的全部图像构成的图像群。关于图像选择框C72、C73也同样。
用户将与打印在ID卡CD1的ICON ID的图像P1一致的图像以在图像P1中打印的顺序从三个图像选择框C71、C72、C73中分别指定并按下发送按钮B72(步骤S810)。例如,在发布了图13所示的ID卡的情况下,用户从图像选择框C71指定咖啡机的图像,另外,从图像选择框C72指定咖啡杯的图像,从图像选择框C73指定熊猫的图像,并按下发送按钮B72。此外,打印在ICON ID的图像P1相当于权利要求书中的“打印图像”。
通过按下发送按钮B72,PC20的WEB浏览器将在三个图像选择框中指定的图像以C71→C72→C73的顺序发送至AP10,AP10的认证信息获取部114b获取这些图像(步骤S812)。例如,在上述图13的例子中,在从WEB浏览器发送的信息中包含“咖啡机图像、咖啡杯图像、熊猫的图像”。此外,步骤S812相当于权利要求书中的步骤(b)。
AP10的认证执行部114e根据获取到的图像进行认证(步骤S814)。通过以下的过程(1)~(3)进行认证。
过程(1):字符串生成部114d对获取到的图像以获取到的顺序进行排序。此外,在本实施方式的情况下以排序后的状态发送图像,因此能够省略本步骤。
过程(2):字符串生成部114d使用排序后的图像和对应列表来生成字符的组。具体地说,字符串生成部114d通过求出图像在对应列表中被分配的数字、并将图像替换为数字来生成由数字的列构成的“字符的组”。此外,过程(1)和过程(2)相当于权利要求书中的步骤(c)。
过程(3):认证执行部114e判断所生成的字符的组是否与许可列表165内的规定位数的字符(例如PIN的后三位)一致。
认证执行部114e在两者一致的情况下判定为认证成功、在两者不一致的情况下判定为认证不成功。在认证结束后,认证执行部114e向无线通信设定处理将认证结果作为返回值来返回,结束处理。此外,过程(3)相当于权利要求书中的步骤(d),许可列表165相当于权利要求书中的“许可候选”。
此外,优选的是,在简单认证处理的第一实施例中,存储在数据库164的图像是用户容易识别的简单的图画字符。为了提高用户的识别性,优选的是图画字符例如由与属于日用品、动物、植物、食物等类别的物体有关的简易的图画表现来构成。
此外,在简单认证处理的第一实施例中,用户也可以将ID卡CD1上显示的字符串(例如PIN的后三位的数字)输入到认证画面W7的文本框T71,来代替指定图像,按下发送按钮B72(步骤S810)。在该情况下,在步骤S814的认证处理中认证执行部114e只要判断接收到的字符串是否与许可列表165内的字符串(例如PIN的后三位)一致即可。这样,能够扩大输入处理的选项,能够提高便利性。
如以上那样,根据简单认证处理的第一实施例,AP10(无线连接装置)使PC20(客户端装置)显示多组由在对应列表中以与多个字符的各字符一一对应的对应关系分配的图像构成的图像群。在上述实施方式的例子中,使用认证画面W7的三个图像选择框C71、C72、C73来进行三组显示。而且,AP10针对各个图像群(C71、C72、C73)获取一个图像的指定和顺序的指定。即,在PC20侧针对所显示的多个图像群只进行图像的指定和顺序的指定的操作即可,因此输入简单。另外在PC20侧,从多个图像群一个一个地指定图像,因此能够使图像指定的自由度高,并且即使在图像群的个数少的情况下也能够增多选项的数量。另外,AP10使用获取到的图像、顺序以及对应列表(图像与字符一对一的分配)来生成字母数字等字符的组,根据所生成的字符的组是否与预先存储在AP10内的许可列表165(许可候选)内的信息一致来对PC20进行认证。即,AP10能够根据从PC20获取到的图像这样的难以复制形式的密码来生成字符串的密码,从而对PC20进行认证。其结果是,在被PC20利用的AP10中,能够使用难以复制的形式的密码通过简单的方法来对PC20进行认证。
并且,根据简单认证处理的第一实施例,PC20能够参照ID卡CD1(多个图像并排打印的介质)来指定用于认证的信息。因此,在PC20侧,能够使用“图像”这样的视觉上容易知道的信息来进行输入。
A-5-2.简单认证处理的第二实施例:
在简单认证处理的第二实施例中,认证画面中的图像的指定方法和为了认证而在AP10与PC20之间发送接收的数据的内容与第一实施例不同。以下,只说明具有与第一实施例不同的结构和动作的部分。此外,在图中对于与第一实施例相同的结构部分附加与先前说明的第一实施例相同的附图标记并省略其详细的说明。
图17是表示简单认证处理的第二实施例的过程的时序图。步骤S800、S802与图14所示的第一实施例相同。接着,AP10的候选生成部114c(图2)生成显示在认证画面的图像组的候选(步骤S904)。
图18是表示在步骤S904中生成的候选的一个例子的说明图。候选是由作为唯一的标识符的index(索引)和分别与index对应的多个图像组构成的表。说明候选的生成方法。候选生成部114c对与打印在ID卡CD1的ICON ID的图像P1相同的图像组CO随机地附加唯一的标识符。候选生成部114c生成从对应列表内的十个图像中随机选择三个图像并进行连结的哑图像组,并随机地附加唯一的标识符。候选生成部114c反复进行规定次数的生成哑图像组的处理,生成多个哑图像组DM1~DMn。此外,步骤S904相当于权利要求书中的步骤(a)。
AP10的向导部117生成用于使WEB浏览器显示认证画面的信息并发送至PC20(步骤S906)。此外,在用于显示本实施方式的认证画面的信息中包含图像组的候选。例如,在生成图18所示的候选的情况下,在用于显示认证画面的信息中包含“index=1、图像组DM1、index=2、图像组CO、index=3、图像组DM2、index=4、图像组DM3…”这样的信息。此外,向导部117为了抑制有恶意的第三者的窃听,也可以将用于显示认证画面的信息进行加密而发送。此外,步骤S906相当于权利要求书中的步骤(b)。接收到用于显示认证画面的信息的PC20的WEB浏览器显示认证画面(步骤S908)。
图19是通过步骤S908显示于PC20的WEB浏览器的认证画面的一个例子。在认证画面W8中配置有图像组选择框C81、字符串输入用文本框T81、取消按钮B81以及发送按钮B82。在图像组选择框C81中以能够以图像组为单位进行选择的方式显示在步骤S904中所生成的候选(图18)内的图像组。
用户从图像组选择框C81中指定与打印在ID卡CD1的ICON ID的图像P1一致的一个图像组并按下发送按钮B82(步骤S910)。例如,在发布了图13所示的ID卡的情况下,用户从图像组选择框C81指定图像组CO并按下发送按钮B82。
通过按下发送按钮B82,PC20的WEB浏览器将附加于在图像组选择框C81中指定的图像组的index发送至AP10,AP10获取该index(步骤S912)。例如,在上述图13的例子中,在从WEB浏览器发送的信息中包含“index=2”。此外,步骤S912相当于权利要求书中的步骤(c)。
AP10的认证执行部114e根据获取到的index进行认证(步骤S914)。通过以下的(1a)~(3a)来进行认证。
过程(1a):字符串生成部114d参照在步骤S904中生成的候选,获取分配了获取到的index的图像组。
过程(2a):字符串生成部114d使用在过程(1a)中获取到的图像组和对应列表来生成字符的组。具体地说,字符串生成部114d求出构成图像组的图像在对应列表中被分配的数字,通过将对图像与数字进行替换来生成由数字的列构成的字符的组。
过程(3a):认证执行部114e判断所生成的字符的组是否与许可列表165内的规定位数的字符(例如PIN的后三位)一致。详细情况与第一实施例的过程(3)相同。此外,过程(1a)和过程(2a)相当于权利要求书中的步骤(d)。
如以上那样,根据简单认证处理的第二实施例,AP10(无线连接装置)使PC20(客户端装置)显示多个包含规定数量的图像的图像组(CO、DM1~DMn),接受从中指定一个图像组。即,在PC20侧只要进行从所显示的多个图像组中指定一个图像组的操作即可,因此输入简单。另外,AP10获取附加在所指定的图像组中的index(标识符),根据获取到的index确定图像组,使用对应列表(图像与字符一对一的分配)来生成字符的组,根据所生成的字符的组是否与预先存储在AP10内的许可列表165(许可候选)内的信息一致来进行认证。即,AP10以暂时附加于图像组的index这样的方式来获取密码,因此即使有恶意的第三者获取到流传在网络上的index,也无法在下次的认证处理中使用获取到的index。这是因为在下次的认证处理中会生成不同的图像组并附加不同的index。其结果,在被PC20利用的AP10中,能够使用即使复制也不能继续使用的形式的密码,通过简单的方法来对PC20进行认证。
A-5-3.简单认证处理的第三实施例:
在简单认证处理的第三实施例中,在简单认证处理中用于认证的图像的处理方法与上述第一实施例、第二实施例不同。此外,第三实施例能够作为第一实施例和第二实施例这两者的变形而被利用。以下只说明具有与第一实施例不同的结构和动作的部分。此外,在图中对于与第一实施例相同的结构部分附加与先前所说明的第一实施例相同的附图标记并省略其详细的说明。
图20是表示在简单认证处理的第三实施例中用于用户认证的ID卡的一个例子的说明图。与图13所示的第一实施方式的不同是显示在ICON ID的图像P2。关于图像P2,打印为多个图像层叠显示,换句话说多个图像以相互叠加的状态显示。在图20的例子中,叠加显示有草坪、斜线以及海鸥的图像。此外,打印在ICON ID的图像P2相当于权利要求书中的“打印图像”。
图21是表示在简单认证处理(图14)的步骤S802中生成的对应列表的一个例子的说明图。在第三实施例中,生成要叠加的图像的数量的、即三组对应列表。第一对应列表L1是在ICON ID(图20)的图像P2中显示在框图像中的最外侧部分的图像(以后还称为“外侧图像”。)和字符一对一地分配的表格。第二对应列表L2是显示在ICON ID的图像P2的中央的表示轮廓的图像(以后还称为“框图像”或者“轮廓图像”。)。此外,“框图像”所表现的框(轮廓)既可以由直线构成,或者也可以由曲线构成。第三对应列表L3是在ICON ID的图像P2中显示在框图像的内侧的图像(以后还称为“内侧图像”。)和字符一对一地分配的表。此外,在第三实施例中,,在第一对应列表L1中使用数字作为所分配的字符,在第二对应列表L2中使用小写英文字母(字母)作为所分配的字符,在对应列表L3中使用大写的英文字母(字母)作为所分配的字符。这三个对应列表L1~L3用于表示简单认证处理中使用的字符串的各位的字符与图像之间的对应关系。如该例子那样,简单认证处理中使用的字符串的各位字符优选由种类互不相同的字符构成。
说明对应列表L1的生成方法。分配部114a提取保存在许可列表165的三位数的字符串。在图20的例子中提取“2jB”。分配部114a对提取出的字符串中的第一个字符(在图20的例子中为“2”)分配与打印在ID卡CD2的ICON ID的外侧图像相同的一个图像。之后,分配部114a对剩余的九个数字分配从快闪ROM160的数据库164中随机选择的九个外侧图像。其结果是,在对应列表L1中对十个不同的外侧图像分配十个不同的字符。说明对应列表L2的生成方法。分配部114a对提取出的字符串中的第二个字符(在图20的例子中为“j”)分配与打印在ID卡CD2的ICON ID的框图像相同的一个图像。之后,分配部114a对剩余的九个小写英文字母分配从快闪ROM160的数据库164随机选择的九个框图像。其结果是,在对应列表L2中对十个不同的框图像分配十个不同的小写英文字母。关于对应列表L3也同样。这样,如果预先生成与用于认证的字符串中的第一个字符对应的对应列表L1、与第二个字符对应的对应列表L2、与第三个字符对应的对应列表L3,则即使是如第三实施例那样的ID卡CD2的方式也能够识别各图像的顺序。此外,在将第三实施例采用为第一实施例的变形的情况下,对应列表L1的十个外侧图像显示在认证画面W7(图16)的图像选择框C71,另外对应列表L2的十个框图像显示在认证画面W7的图像选择框C72,对应列表L3的十个内侧图像显示在认证画面W7的图像选择框C73。
第三实施例的对应列表L1~L3与第一实施例的主要不同点在于所使用的图像由适于叠加的图像的组合构成。适于叠加的图像的意思是表示能够成为第一背景的景色、模样的第一种图像(外侧图像)、表示能够成为第二背景的景色、模样的第二种图像(内侧图像)以及表示能够成为第一背景与第二背景的分隔的框(轮廓)的第三种图像(框图像)中的任意一个图像。这样,能够提高用户对于叠加显示的图像中的各个图像的视觉识别性。
如以上那样,根据简单认证处理的第三实施例,预先通过ID卡CD2以要在认证时将指定的多个图像P2以相互叠加的状态通知给PC20(客户端装置)。因此,在PC20侧,能够使用“图像”这样的视觉上容易知道的信息进行输入。并且,多个图像被叠加显示,因此即使在例如由于ID卡CD2遭受被盗等而通知内容向外部泄漏的情况下也能够降低非法利用的风险。
并且,根据简单认证处理的第三实施例,使用的图像是能够成为第一背景的第一种图像、能够成为第二背景的第二种图像以及能够成为上述第一背景与上述第二背景的分隔的第三种图像中的任意一个图像,因此能够提高用户对于叠加显示多个图像而得到的图像P2中的各图像的视觉识别性。
A-5-4.简单认证处理的第四实施例:
在简单认证处理的第四实施例中,说明在简单认证处理中用于认证的信息的变形。此外,第四实施例能够作为第一实施例~第三实施例所有实施例的变形而被利用。以下只说明具有与第一实施例不同的结构和动作的部分。此外,在图中对于与第一实施例相同的结构部分附加与先前说明的第一实施例相同的附图标记并省略其详细的说明。
图22是表示在简单认证处理的第四实施例中用于用户认证的ID卡的一个例子的说明图。与图13所示的第一实施例的不同之处在于在ID卡CD3、CD4的ICON ID中显示字符串P3、P4来代替图像。字符串P3、P4例如是PIN的后三位的数字。字符串P3是使用相同标准的字体表示的多个数字以相互连结的状态打印而得到的。字符串P4是改换字体、大小、显示角度表示的多个数字以相互连结的状态打印而得到的。
简单认证处理的第四实施例的过程与图14所示的第一实施例相同。
图23是简单认证处理(图14)的通过步骤S808显示在PC20的WEB浏览器上的认证画面的一个例子。详细情况与第一实施例相同。当用户在该认证画面中指定图22的ID卡上所显示的字符串时,进行认证。
如以上那样,作为简单认证处理中用于认证的视觉性表现(绘画部件),除了能够利用在第一实施例~第三实施例中利用的与属于动物、植物、食物、日用品中的至少一个类别的物体有关的图画表现的图像之外,还能够利用在第四实施例中利用的字符(数字、汉字、平假名、片假名、字母、阿拉伯字符、拉丁字符等)。此外,在简单认证处理中用于认证的图像也可以构成为包括属于图形(圆形、三角形、四角形等)的类别的简易的图画表现的图像。
B.第二实施方式:
在本发明的第二实施方式中,说明在无线通信设定处理中执行的过滤处理不同的结构。此外,此处的“过滤处理”的意思是AP10丢弃发送源MAC地址与在步骤S112(图5)中获取到的MAC地址不一致的数据包的处理。以下只说明具有与第一实施方式不同的结构和动作的部分。此外,在图中对于与第一实施方式相同的结构部分附加与先前说明的第一实施方式相同的附图标记并省略其详细的说明。
图24是表示第二实施方式中的无线通信设定处理的过程的时序图。此外,在图24中为了图示的方便而省略步骤PH4(客户端装置获取推荐文件)的图示。与图5所示的第一实施方式的动作不同之处仅在于具备步骤S202、S204来代替步骤S112、S114以及在步骤S150与步骤S152之间具备步骤S210~S214,其它动作与第一实施方式相同。另外,第一实施方式的AP10(图2)与第二实施方式的AP10a的结构的不同之处在于标识符获取部115和限制部116的动作不同。在第二实施方式中,标识符获取部115获取会话ID作为分配给与客户端之间的连接的标识符。限制部116通过与第一实施方式不同的方法来进行限制无线通信设定处理中的通信。
在简单认证处理中判定为认证成功的情况下,AP10a的标识符获取部115向PC20发送会话ID获取请求(步骤S202)。接收到会话ID获取请求的PC20的浏览器生成会话ID并将所生成的会话ID发送至AP10a(步骤S204)。此外,会话ID如果是为了管理PC20与AP10a之间的连接而附加的标识符则不作特别限定。会话ID例如能够通过随机数来生成,也可以不唯一。之后,标识符获取部115将接收到的会话ID存储在标识符存储部163。
此外,在上述第一实施方式中,AP的限制部116获取来自PC的MAC地址之后立即进行过滤处理。但是,第二实施方式的限制部116在接收到步骤S212的会话ID为止的期间不执行后述的限制处理。
在步骤S150中执行设定用应用之后,PC20的浏览器将与在步骤S204中生成的会话ID相同的会话ID转交给设定用应用(步骤S210)。具体地说,浏览器向在设定用应用内启动的WEB服务器发送将会话ID包含在查询字符中的请求。WEB服务器在接收到请求之后获取包含在查询字符中的会话ID并转交给设定用应用。通过这种过程,能够实现通常难以实现的浏览器与应用之间的数据共享。
获取了会话ID的PC20的设定用应用向AP10a发送会话ID(步骤S212)。
从PC20的设定用应用获取会话ID之后,AP10a的限制部116确认PC20的合法性(步骤S214)。具体地说,限制部116确认在步骤S204中从浏览器接收到的会话ID与在步骤S212中从设定用应用接收到的会话ID是否一致。在两者一致的情况下,限制部116判定为PC20是以正当手续访问的客户端,继续之后的处理。换句话说,使从PC20接收到的数据包直接通过。
另一方面,在两者不一致的情况下,限制部116判定为PC20是以不正当手续进行访问的客户端,强制切断PC20与AP10a之间的连接。换句话说,设为无法从PC20接收数据包的状态。此外,还将该处理称为“限制处理”。由此,AP10a能够将经由!ABC连接进行的通信限定为确认了合法性的客户端装置。即,能够检测出有恶意的第三者不进行在步骤S800~S142中所示的各种处理地使用MAC地址伪装等方法要连接到AP10a,并对此情况进行排除。其结果是,能够进一步提高无线通信设定处理的安全(机密性)。
此外,在上述第二实施方式中,进行使用会话ID的限制处理来代替使用第一实施方式的MAC地址的过滤处理。但是,第一实施方式的过滤处理与第二实施方式的限制处理也可以并行地执行。这样,能够进一步提高无线通信设定处理的安全级别。
另外,在上述第二实施方式中,在简单认证处理后立即进行会话ID的生成、获取。但是,AP10a从PC20的浏览器获取会话ID的定时只要是设定用应用执行前,则能够任意地变更。
另外,在上述第二实施方式中,作为AP10a的限制部116确认PC20的合法性的方法,设为确认“会话ID是否一致”。但是,只要限制部116在使用从浏览器接收到的会话ID和从设定用应用接收到的会话ID这两者来确认合法性,则能够使用任意的方法。例如,在步骤S212中限制部116也可以从设定用应用接收被设为哈希值的会话ID,并通过将接收到的会话ID(哈希值)与将存储在标识符存储部163的会话ID设为哈希值所得到的会话ID进行比较来验证合法性。
C.第三实施方式
图25是表示第三实施方式中的AP(无线连接装置)的结构的框图。该AP10b具备向导部311、认证信息获取部312、字符串生成部313以及认证执行部314。通过CPU执行计算机程序来实现这些各部。它们以外的其它各部120~160的结构与图2所示的第一实施方式相同。此外,向导部311对应于图2的向导部117,同样地,认证信息获取部312对应于图2的认证信息获取部114b,字符串生成部313对应于图2的字符串生成部114d,认证执行部314对应于图2的认证执行部114e。
向导部311发送用于使客户端装置显示由预先以与多个字符中的各字符一一对应的对应关系分配的图像构成的图像群的信息。认证信息获取部312获取从客户端装置所显示的图像群中指定的多个图像和所指定的多个图像的顺序。字符串生成部313使用所指定的多个图像、所指定的多个图像的顺序以及图像与字符之间的对应关系来生成字符的组。认证执行部314根据所生成的字符的组是否与预先存储在AP10b内的许可候选内的信息一致来进行认证。
该AP10b例如按照以下的过程执行客户端装置的认证。
步骤(a):AP10b的向导部311发送用于使客户端装置显示由预先以与多个字符中的各字符一一对应的对应关系分配的图像构成的图像群的信息。
步骤(b):AP10b的认证信息获取部312获取从客户端装置所显示的图像群中指定的多个图像和所指定的多个图像的顺序。
步骤(c):AP10b的字符串生成部313使用所指定的多个图像、所指定的多个图像的顺序以及图像与字符之间的对应关系来生成字符的组。
步骤(d):AP10b的认证执行部314根据所生成的字符的组是否与预先存储在AP10b内的许可候选内的信息一致来进行认证。
根据第三实施方式,AP10b能够根据从客户端装置获取到的图像这样的难以复制的形式的密码来生成字符的密码,从而进行客户端装置的认证。其结果,在被客户端装置利用的AP10b中,能够使用难以复制形式的密码,通过简单的方法对客户端装置进行认证。
D.第四实施方式:
图26是表示第四实施方式中的AP(无线连接装置)的结构的框图。该AP10c具备候选生成部411、向导部412、认证信息获取部413、字符串生成部414以及认证执行部415。通过CPU110执行计算机程序来实现这些各部。它们以外的其它各部120~160的结构与图2所示的第1实施方式相同。此外,候选生成部411对应于图2的候选生成部114c,同样地,向导部412对应于图2的向导部117,认证信息获取部413对应于图2的认证信息获取部114b,字符串生成部414对应于图2的字符串生成部114d,认证执行部415对应于图2的认证执行部114e。
候选生成部411生成多个图像组,对多个图像组中的各个图像组附加唯一的标识符,该图像组由规定数量的图像构成,对各图像预先以一一对应的对应关系分配了字符。向导部412向客户端装置发送用于使客户端装置显示多个图像组的信息。认证信息获取部413获取附加于从所显示的多个图像组中指定的一个图像组的上述标识符。字符串生成部414根据获取到的标识符确定所指定的一个图像组,使用图像与字符之间的对应关系生成字符的组。认证执行部415根据所生成的字符的组是否与预先存储在AP10c内的许可候选内的信息一致来进行认证。
该AP10c例如按照以下的过程进行客户端装置的通信设定。
步骤(a):AP10c的候选生成部411生成多个图像组,对多个图像组中的各个图像组附加唯一的标识符,该图像组由规定数量的图像构成,对各图像预先以一一对应的对应关系分配了字符。
步骤(b):AP10c的向导部412向客户端装置发送用于使客户端装置显示多个图像组的信息。
步骤(c):AP10c的认证信息获取部413获取附加于从所显示的多个图像组中指定的一个图像组的上述标识符。
步骤(d):AP10c的字符串生成部414根据获取到的标识符确定所指定的一个图像组,使用图像与字符之间的对应关系生成字符的组。
步骤(e):AP10的认证执行部415根据所生成的字符的组是否与预先存储在AP10c内的许可候选内的信息一致来进行认证。
根据第四实施方式,AP10c通过暂时附加于图像组的标识符这样的方式来获取密码,因此即使有恶意的第三者获取到流传在网络上的标识符也无法在下次的认证处理中使用。其结果,在被客户端装置利用的AP10c中,能够使用即使复制也不能继续使用的形式的密码来通过简单的方法对客户端装置进行认证。
变形例:
在上述实施方式中,既可以将通过硬件实现的部分结构替换为软件,相反地,也可以将通过软件实现的部分结构替换为硬件。除此之外,还能够进行如下的变形。
·变形例1:
在上述各实施方式(图2)中,使用接入点(AP)作为无线连接装置对AP的结构进行了说明。但是,上述实施方式中的无线连接装置的结构只不过是一个例子,能够采用任意的方式。例如,能够进行省略部分结构要素、附加其它的结构要素或变更部分结构要素的变形。
例如,在无线连接装置中能够采用能够进行无线连接的各种设备。例如,无线连接装置既可以是路由器、集线器、调制解调器等网络通信设备,也可以是NAS(Network Attached Storage:网络附加存储)等存储装置,还可以是数码照相机、打印机、网络显示器、扫描机等图像输入输出设备。此外,无线连接装置只要具有无线连接功能即可,也可以不具有数据包中继功能。另一方面,无线网络中继装置优选具有无线连接功能和数据包中继功能这两者。
例如,将设置在AP的设定按钮作为瞬时开关进行了说明,但是只要构成为施加无线通信设定处理的开始指示的输入单元来代替该设定按钮,就能够采用各种方式。例如,也可以在用户直接接触的方式、或者离AP附近的近距离通信的方式、或者通过内置于客户端的照相机对AP所提供的信息码进行拍摄的方式下,构成对AP施加无线通信设定处理的开始指示的输入单元。另外,在AP具备显示器的情况下,也可以通过GUI(Graphical User Interface:图形用户界面)来实现这样的输入单元。另外,也可以利用红外线通信、接触型或者非接触型的IC卡来实现输入单元。另外,也可以利用QR码(注册商标)、条形码、全息图等信息码来实现输入单元。这样,能够抑制有恶意的第三者违反用户的意图向AP施加无线通信设定处理的开始指示,能够抑制无线通信ID信息、加密信息泄漏。此外,从抑制来自有恶意的第三者的非法访问这样的观点考虑,优选的是使能够对AP施加无线通信设定处理的开始指示的范围尽可能小。例如,该范围可以设为距离AP为10m以内的范围,更优选设为5m以内,进一步更优选设为1m以内。另外,该范围最优选设为0m、即设为用户直接接触AP来施加开始指示的方式。
另外,在上述实施方式中,证书等信息作为保存于AP的快闪ROM的信息进行了说明。但是,这些表也可以保存于快闪ROM以外的存储介质。例如,AP设为具备USB(Universal Serial Bus:通用串行总线)接口,上述各表也可以保存于USB存储器、USB硬盘等可插拔的便携式存储介质。
·变形例2:
在上述实施方式(图4)中,使用个人计算机(PC)作为客户端装置对PC的结构进行了说明。但是,上述实施方式中的客户端装置的结构只不过是一个例子,能够采用任意的方式。
例如,在客户端装置中能够采用PC以外的各种设备。例如,客户端装置也可以是以太网转换器(以太网为注册商标)、便携式电话、PDA(Personal Digital Assistants:个人数字助理)、游戏机、音乐播放器、打印机、电视机等其它种类的无线装置。具体地说,例如也可以采用数码照相机来代替PC20,并且采用NAS(NetworkAttached Storage:网络附加存储)来代替AP10a,获取保存在NAS的数据来代替从因特网上的服务器获取数据。在该情况下,各步骤能够如下地构成。
步骤PH1:在无线连接中,使用Ad-hoc连接、WDS连接将数码照相机连接到NAS(如果是IP连接则没有特别限制),来代替如基础设施连接那样客户端装置连接到接入点。设为NAS具有DHCP(Dynamic Host Configuration Protocol:动态主机配置协议)服务器功能的结构。使数码照相机获取IP地址、默认网关、DNS(Domain Name System:域名系统)服务器地址。
步骤PH2:NAS预先将数码照相机用的应用下载到自身,因此不进行PPPoE连接。此外,NAS也可以与上述实施方式的处理分开地在每个固定期间从因特网上的服务器获取NAS内的数据并更新。关于简单认证处理,例如也可以使NAS具备触摸面板的显示器,用户通过对触摸面板进行输入操作来在触摸面板上选择NAS保有的WEB浏览器所显示的图像。
步骤PH3、PH4:与上述实施方式相同。
这样,能够不在如PC、智能手机那样的信息终端中执行无线通信设定处理,而在如数码照相机那样的其它种类的无线装置中执行无线通信设定处理。另外,不将无线通信设定处理限定在基于基础设施连接的无线连接,还能够应用于如Ad-hoc连接、WDS连接那样的各种IP连接中。另外,能够不连接在因特网上的服务器地执行无线通信设定处理,因此能够省略无线通信设定处理中的因特网连接。此外,也可以设为在AP装载了外挂硬盘来代替NAS的结构。
另外,例如,能够进行省略图4所示的PC的结构要素中的部分结构要素、或附加其它的结构要素、变更部分结构要素的变形。
·变形例3:
在上述实施方式(图3)中,说明了设定在AP的虚拟端口(虚拟接入点)的结构。但是,上述实施方式中的虚拟端口的结构只不过是一个例子,能够采用任意的方式。
例如,能够任意的确定虚拟端口的个数,例如既可以是一个,也可以是五个。另外,例如,对每个虚拟端口进行的通信设定(SSID有效/无效、SSID、通信的加密方式)只不过是一个例子,也可以进行其它的通信设定。
·变形例4:
在上述实施方式(图5、图6、图7)中,针对无线通信设定处理例举处理的过程的一个例子进行了说明。但是,上述实施方式的过程只不过是一个例子,能够进行各种变更。既可以省略一部分步骤,也可以追加另外其它的步骤。另外,也可以变更执行的步骤的顺序。
例如,在步骤S102中设为设定控制部112变更虚拟端口VAP2的SSID,但这只不过是例示。设定控制部112只要变更任意的虚拟端口的通信设定来使SSID有效并且将SSID的值设定为“!ABC”、将通信的加密方式变更为“无加密”或者“加密水平低的通信”即可。
例如,也可以在步骤S116中向导部117引导用户输入PPPoE的用户名和密码的步骤之前,使用预先存储在AP内部的默认的用户名和密码来自动地试行PPPoE连接。这样,能够限于使用了默认的用户名和密码的连接失败的情况下要求用户进行输入,因此能够减轻用户的工夫。
例如,在步骤S136、S138中,设为以用户按下设定用应用下载画面W3的链接为触发来发送下载请求。但是,也可以采用省略步骤S136、S138而自动地开始下载的结构。
例如,在步骤S156和S158中,例示出采用了SSL协议作为规定的协议的情况,但也可以使用遵照了其它加密协议的加密通信。
例如,在步骤S186以及S194中,设为DL应用从服务器获取推荐文件一览和推荐文件。但是,DL应用也可以代替服务器而从AP获取推荐文件一览和推荐文件。
·变形例5:
在上述实施方式(图8~图12)中,举出在无线通信设定处理中显示在客户端侧的画面的一个例子进行了说明。但是,上述实施方式的画面只不过是一个例子,能够进行各种变更。既可以省略一部分显示项目,也可以追加另外其它的显示项目。
·变形例6:
在上述实施方式(图14、图19)中针对简单认证处理举出处理的过程的一个例子进行了说明。但是,上述实施方式的过程只不过是一个例子,能够进行各种变更。既可以省略一部分步骤,也可以追加另外其它的步骤。另外,也可以变更执行的步骤的顺序。
例如,在简单认证处理中设为为了认证而使用PIN的后三位和与其对应的三个图像。但是,能够任意地确定在简单认证处理中使用的PIN号码的位数和图像数。具体地说,在简单认证处理中也可以使用PIN号码的所有位和与所有位数对应的数量的图像。另外在简单认证处理中使用的图像也可以不必与PIN相关联。
例如,在步骤S802和S902中,每次简单认证处理时都进行生成对应列表,但也可以设为事先存储临时生成的对应列表并再次利用的方式。
例如,在步骤S812中,PC将在三个图像选择框中指定的图像以图像选择框所配置的顺序发送至AP。换句话说,设为基于图像选择框的配置顺序而省略指定图像的顺序的结构。但是,只要进行图像的指定和图像的顺序的指定,则步骤S812(和认证画面W7)能够进行各种的变形。例如,也可以使用三个图像选择框和选择该图像选择框是指定第几个图画的框的组合。
·变形例7:
在上述实施方式(图16、图19)中,例举在简单认证处理中显示在客户端侧的画面的一个例子进行了说明。但是,上述实施方式的画面只不过是一个例子,能够进行各种变更。既可以省略一部分显示项目、也可以追加另外其它的显示项目。
Claims (32)
1.一种认证方法,用于无线连接装置对客户端装置进行认证,包括如下步骤:
(a)上述无线连接装置发送用于使上述客户端装置显示图像群的信息,该图像群由预先以与多个字符中的各字符一一对应的对应关系分配的图像构成;
(b)上述客户端装置向上述无线连接装置发送从上述客户端装置所显示的上述图像群中指定的多个图像和所指定的上述多个图像的顺序;
(c)上述无线连接装置使用所指定的上述多个图像、所指定的上述多个图像的顺序以及上述对应关系来生成字符的组;以及
(d)上述无线连接装置根据所生成的上述字符的组是否与预先存储在上述无线连接装置内的许可候选内的信息一致来进行认证。
2.根据权利要求1所述的认证方法,其特征在于,
在上述步骤(b)中,获取按照打印图像从上述客户端装置所显示的上述图像群中指定的上述多个图像和上述多个图像的顺序,其中,该打印图像是将多个图像并排打印于预先配发的介质上而得到的。
3.根据权利要求2所述的认证方法,其特征在于,
上述图像群所包含的图像构成为包含与属于图形、动物、植物、食物、日用品中的至少一个类别的物体有关的简单的图画表现。
4.根据权利要求1所述的认证方法,其特征在于,
在上述步骤(b)中,获取按照打印图像从上述客户端装置所显示的上述图像群中指定的上述多个图像和上述多个图像的顺序,其中,该打印图像是以叠加了多个图像的状态打印于预先配发的介质上而得到的。
5.根据权利要求4所述的认证方法,其特征在于,
上述图像群包含能够成为第一背景的第一种图像、能够成为第二背景的第二种图像以及能够成为上述第一背景与上述第二背景的分隔的第三种图像。
6.根据权利要求1~5中的任意一项所述的认证方法,其特征在于,
在上述步骤(c)中,上述无线连接装置通过按照所指定的上述多个图像的顺序对上述多个图像进行排序并按照上述对应关系将排序后的上述多个图像替换为字符,来生成上述字符的组。
7.根据权利要求1~6中的任意一项所述的认证方法,其特征在于,
上述字符的组是由字母数字构成的列。
8.根据权利要求1~7中的任意一项所述的认证方法,其特征在于,
上述无线连接装置是能够在多个上述客户端装置与上述无线连接装置之间中继无线通信的无线网络中继装置。
9.一种无线连接装置,具备:
向导部,其发送用于使客户端装置显示图像群的信息,该图像群由预先以与多个字符中的各字符一一对应的对应关系分配的图像构成;
认证信息获取部,其获取从上述客户端装置所显示的上述图像群中指定的多个图像和所指定的上述多个图像的顺序;
字符串生成部,其使用所指定的上述多个图像、所指定的上述多个图像的顺序以及上述对应关系来生成字符的组;以及
认证执行部,其根据所生成的上述字符的组是否与预先存储在上述无线连接装置内的许可候选内的信息一致来进行认证。
10.根据权利要求9所述的无线连接装置,其特征在于,
上述认证信息获取部获取按照打印图像从上述客户端装置所显示的上述图像群中指定的上述多个图像和上述多个图像的顺序,其中,该打印图像是将多个图像并排打印于预先配发的介质上而得到的。
11.根据权利要求10所述的无线连接装置,其特征在于,
上述图像群所包含的图像构成为包含与属于图形、动物、植物、食物、日用品中的至少一个类别的物体有关的简单的图画表现。
12.根据权利要求9所述的无线连接装置,其特征在于,
上述认证信息获取部获取按照打印图像从上述客户端装置所显示的上述图像群中指定的上述多个图像和上述多个图像的顺序,其中,该打印图像是以叠加了多个图像的状态打印于预先配发的介质上而得到的。
13.根据权利要求12所述的无线连接装置,其特征在于,
上述图像群包含能够成为第一背景的第一种图像、能够成为第二背景的第二种图像以及能够成为上述第一背景与上述第二背景的分隔的第三种图像。
14.根据权利要求9~13中的任意一项所述的无线连接装置,其特征在于,
上述字符串生成部通过按照所指定的上述多个图像的顺序对上述多个图像进行排序并按照上述对应关系将排序后的上述多个图像替换为字符,来生成上述字符的组。
15.根据权利要求9~14中的任意一项所述的无线连接装置,其特征在于,
上述字符的组是由字母数字构成的列。
16.根据权利要求9~15中的任意一项所述的无线连接装置,其特征在于,
上述无线连接装置是能够在多个上述客户端装置与上述无线连接装置之间中继无线通信的无线网络中继装置。
17.一种认证方法,用于无线连接装置对客户端装置进行认证,包括如下步骤:
(a)上述无线连接装置生成多个图像组,对上述多个图像组中的各个图像组附加唯一的标识符,上述图像组由规定数量的图像构成,对各上述图像预先以一一对应的对应关系分配了字符;
(b)上述无线连接装置向上述客户端装置发送用于使上述客户端装置显示上述多个图像组的信息;
(c)上述客户端装置向上述无线连接装置发送附加于从上述客户端装置所显示的上述多个图像组中指定的一个图像组的上述标识符;
(d)上述无线连接装置根据从上述客户端装置接收到的上述标识符确定所指定的上述一个图像组,使用上述对应关系生成字符的组;以及
(e)上述无线连接装置根据所生成的上述字符的组是否与预先存储在上述无线连接装置内的许可候选内的信息一致来进行认证。
18.根据权利要求17所述的认证方法,其特征在于,
在上述步骤(c)中,获取附加于按照打印图像从所显示的上述多个图像组中指定的一个图像组的标识符,其中,该打印图像是将多个图像并排打印于预先配发的介质上而得到的。
19.根据权利要求18所述的认证方法,其特征在于,
上述多个图像组所包含的多个图像中的各个图像构成为包含与属于图形、动物、植物、食物、日用品中的至少一个类别的物体有关的简单的图画表现。
20.根据权利要求17所述的认证方法,其特征在于,
在上述步骤(c)中,获取附加于按照打印图像从所显示的上述多个图像组中指定的一个图像组的标识符,其中,该打印图像是以叠加了多个图像的状态打印于预先配发的介质上而得到的。
21.根据权利要求20所述的认证方法,其特征在于,
上述多个图像组包含能够成为第一背景的第一种图像、能够成为第二背景的第二种图像以及能够成为上述第一背景与上述第二背景的分隔的第三种图像。
22.根据权利要求17~21中的任意一项所述的认证方法,其特征在于,
在上述步骤(d)中,上述无线连接装置通过根据获取到的上述标识符确定上述图像组并按照上述对应关系将包含在上述图像组中的图像替换为字符,来生成上述字符的组。
23.根据权利要求17~22中的任意一项所述的认证方法,其特征在于,
上述字符的组是由字母数字构成的列。
24.根据权利要求17~23中的任意一项所述的认证方法,其特征在于,
上述无线连接装置是能够在多个上述客户端装置与上述无线连接装置之间中继无线通信的无线网络中继装置。
25.一种无线连接装置,具备:
候选生成部,其生成多个图像组,对上述多个图像组中的各个图像组附加唯一的标识符,上述图像组由规定数量的图像构成,对各上述图像预先以一一对应的对应关系分配了字符;
向导部,其向客户端装置发送用于使上述客户端装置显示上述多个图像组的信息;
认证信息获取部,其获取附加于从所显示的上述多个图像组中指定的一个图像组的上述标识符;
字符串生成部,其根据获取到的上述标识符确定所指定的上述一个图像组,使用上述对应关系生成字符的组;以及
认证执行部,其根据所生成的上述字符的组是否与预先存储在上述无线连接装置内的许可候选内的信息一致来进行认证。
26.根据权利要求25所述的无线连接装置,其特征在于,
上述认证信息获取部获取附加于按照打印图像从所显示的上述多个图像组中指定的一个图像组的标识符,其中,该打印图像是将多个图像并排打印于预先配发的介质上而得到的。
27.根据权利要求26所述的无线连接装置,其特征在于,
上述多个图像组所包含的多个图像中的各个图像构成为包含与属于图形、动物、植物、食物、日用品中的至少一个类别的物体有关的简单的图画表现。
28.根据权利要求25所述的无线连接装置,其特征在于,
上述认证信息获取部获取附加于按照打印图像从所显示的上述多个图像组中指定的一个图像组的标识符,其中,该打印图像是以叠加了多个图像的状态打印于预先配发的介质上而得到的。
29.根据权利要求28所述的无线连接装置,其特征在于,
上述多个图像组包含能够成为第一背景的第一种图像、能够成为第二背景的第二种图像以及能够成为上述第一背景与上述第二背景的分隔的第三种图像。
30.根据权利要求25~29中的任意一项所述的无线连接装置,其特征在于,
上述字符串生成部通过根据获取到的上述标识符确定上述图像组并按照上述对应关系将包含在上述图像组中的图像替换为字符,来生成上述字符的组。
31.根据权利要求25~30中的任意一项所述的无线连接装置,其特征在于,
上述字符的组是由字母数字构成的列。
32.根据权利要求25~31中的任意一项所述的无线连接装置,其特征在于,
上述无线连接装置是能够在多个上述客户端装置与上述无线连接装置之间中继无线通信的无线网络中继装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012-118843 | 2012-05-24 | ||
| JP2012118843A JP5994390B2 (ja) | 2012-05-24 | 2012-05-24 | 認証方法および無線接続装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103425923A true CN103425923A (zh) | 2013-12-04 |
| CN103425923B CN103425923B (zh) | 2017-08-04 |
Family
ID=49622615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310199350.0A Active CN103425923B (zh) | 2012-05-24 | 2013-05-24 | 认证方法和无线连接装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20130318587A1 (zh) |
| JP (1) | JP5994390B2 (zh) |
| CN (1) | CN103425923B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104091114A (zh) * | 2014-07-04 | 2014-10-08 | 泛意创作有限公司 | 移动终端传输认证密码方法、获取认证密码方法 |
| CN105357740A (zh) * | 2015-09-23 | 2016-02-24 | 惠州Tcl移动通信有限公司 | 一种无线网络的接入方法及无线访问节点 |
| CN105471836A (zh) * | 2014-09-29 | 2016-04-06 | 株式会社日立制作所 | 单向中继装置 |
| CN107612711A (zh) * | 2017-08-15 | 2018-01-19 | 上海斐讯数据通信技术有限公司 | 一种基于中文ssid的引导连接待配置无线设备的方法及系统 |
| CN114500098A (zh) * | 2022-03-03 | 2022-05-13 | 广州市智荟环保有限公司 | 一种验证方法、装置和计算机设备及可读存储介质 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8621571B2 (en) * | 2010-03-03 | 2013-12-31 | Htc Corporation | Online service providing system, method, server and mobile device thereof, and computer program product |
| US9584313B2 (en) * | 2013-08-09 | 2017-02-28 | Introspective Power, Inc. | Streaming one time pad cipher using rotating ports for data encryption |
| US9584488B2 (en) | 2013-08-09 | 2017-02-28 | Introspective Power, Inc. | Data encryption cipher using rotating ports |
| US9171143B2 (en) * | 2013-12-19 | 2015-10-27 | Verizon Patent And Licensing Inc. | System for and method of generating visual passwords |
| CN104811305B (zh) * | 2014-01-27 | 2018-06-08 | 腾讯科技(深圳)有限公司 | 终端之间的通信认证方法及装置 |
| US9763094B2 (en) * | 2014-01-31 | 2017-09-12 | Qualcomm Incorporated | Methods, devices and systems for dynamic network access administration |
| JP2016015107A (ja) * | 2014-05-01 | 2016-01-28 | バンクガード株式会社 | サーバシステム、通信システム、通信端末装置、プログラム、記録媒体及び通信方法 |
| US9338651B2 (en) * | 2014-05-09 | 2016-05-10 | Verizon Patent And Licensing Inc. | Proactive assistance in obtaining a wireless network connection |
| CN105450405B (zh) * | 2014-07-18 | 2018-10-02 | 阿里巴巴集团控股有限公司 | 一种密码设置和认证方法及系统 |
| WO2016047111A1 (ja) * | 2014-09-25 | 2016-03-31 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記憶媒体 |
| EP3073774A1 (en) * | 2015-03-23 | 2016-09-28 | Thomson Licensing | Automatic configuration of a wireless residential access network |
| CN105681029A (zh) * | 2015-12-30 | 2016-06-15 | 深圳Tcl数字技术有限公司 | 创建wep密码的方法和装置 |
| CN107333099B (zh) * | 2016-04-28 | 2019-11-19 | 瑞昱半导体股份有限公司 | 具有无线中继功能的网络摄影机 |
| US10251057B2 (en) | 2016-08-29 | 2019-04-02 | International Business Machines Corporation | Authentication for device connection using visible patterns |
| JP6651570B2 (ja) * | 2018-04-23 | 2020-02-19 | 株式会社オルツ | ユーザの認証を行うユーザ認証装置、ユーザ認証装置において実行されるプログラム、ユーザの認証を行うための入力デバイスにおいて実行されるプログラム、ユーザ認証装置および入力デバイスを備えたコンピュータシステム |
| WO2019208223A1 (ja) * | 2018-04-23 | 2019-10-31 | 株式会社オルツ | ユーザの認証を行うユーザ認証装置、ユーザ認証装置において実行されるプログラム、ユーザの認証を行うための入力デバイスにおいて実行されるプログラム、ユーザ認証装置および入力デバイスを備えたコンピュータシステム |
| US11005971B2 (en) * | 2018-08-02 | 2021-05-11 | Paul Swengler | System and method for user device authentication or identity validation without passwords or matching tokens |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030177366A1 (en) * | 2002-03-18 | 2003-09-18 | Sun Microsystem, Inc., A Delaware Corporation | Method and apparatus for dynamic personal identification number management |
| CN1722876A (zh) * | 2004-07-14 | 2006-01-18 | 英华达(上海)电子有限公司 | 具有拼图密码保密机制的电子装置及拼图密码保密方法 |
| CN1820288A (zh) * | 2003-08-29 | 2006-08-16 | 诺基亚公司 | 用于定制的基于图片的用户标识和认证方法和设备 |
| US20070074119A1 (en) * | 2005-09-27 | 2007-03-29 | Nec Nexsolutions, Ltd. | Image array authentication system |
| JP2009104314A (ja) * | 2007-10-22 | 2009-05-14 | Nec Corp | 画像選択認証システム、認証サーバ装置、画像選択認証方法、および画像選択認証プログラム。 |
| US20090328197A1 (en) * | 2004-12-16 | 2009-12-31 | Mark Dwight Newell | User validation using images |
| CN101772772A (zh) * | 2007-08-13 | 2010-07-07 | 索尼爱立信移动通讯有限公司 | 图形图像认证 |
| CN102148686A (zh) * | 2010-02-08 | 2011-08-10 | 中山大学 | 一种基于角色变形的图形密码认证方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3227450B2 (ja) * | 2000-03-29 | 2001-11-12 | マイクロソフト コーポレイション | 個人認証方法 |
| US20040034801A1 (en) * | 2001-02-15 | 2004-02-19 | Denny Jaeger | Method for creating and using computer passwords |
| WO2006124666A2 (en) * | 2005-05-13 | 2006-11-23 | Tivaro, Inc. | A coordinate based computer authentication system and methods |
| US8732477B2 (en) * | 2006-05-24 | 2014-05-20 | Confident Technologies, Inc. | Graphical image authentication and security system |
| US20070277224A1 (en) * | 2006-05-24 | 2007-11-29 | Osborn Steven L | Methods and Systems for Graphical Image Authentication |
| WO2007139644A2 (en) * | 2006-05-24 | 2007-12-06 | Vidoop, L.L.C. | Graphical image authentication and security system |
| US20090037419A1 (en) * | 2007-08-03 | 2009-02-05 | Johannes Huber | Website exchange of personal information keyed to easily remembered non-alphanumeric symbols |
| US20110202982A1 (en) * | 2007-09-17 | 2011-08-18 | Vidoop, Llc | Methods And Systems For Management Of Image-Based Password Accounts |
| US8621578B1 (en) * | 2008-12-10 | 2013-12-31 | Confident Technologies, Inc. | Methods and systems for protecting website forms from automated access |
-
2012
- 2012-05-24 JP JP2012118843A patent/JP5994390B2/ja active Active
-
2013
- 2013-05-21 US US13/899,190 patent/US20130318587A1/en not_active Abandoned
- 2013-05-24 CN CN201310199350.0A patent/CN103425923B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030177366A1 (en) * | 2002-03-18 | 2003-09-18 | Sun Microsystem, Inc., A Delaware Corporation | Method and apparatus for dynamic personal identification number management |
| CN1820288A (zh) * | 2003-08-29 | 2006-08-16 | 诺基亚公司 | 用于定制的基于图片的用户标识和认证方法和设备 |
| CN1722876A (zh) * | 2004-07-14 | 2006-01-18 | 英华达(上海)电子有限公司 | 具有拼图密码保密机制的电子装置及拼图密码保密方法 |
| US20090328197A1 (en) * | 2004-12-16 | 2009-12-31 | Mark Dwight Newell | User validation using images |
| US20070074119A1 (en) * | 2005-09-27 | 2007-03-29 | Nec Nexsolutions, Ltd. | Image array authentication system |
| CN101772772A (zh) * | 2007-08-13 | 2010-07-07 | 索尼爱立信移动通讯有限公司 | 图形图像认证 |
| JP2009104314A (ja) * | 2007-10-22 | 2009-05-14 | Nec Corp | 画像選択認証システム、認証サーバ装置、画像選択認証方法、および画像選択認証プログラム。 |
| CN102148686A (zh) * | 2010-02-08 | 2011-08-10 | 中山大学 | 一种基于角色变形的图形密码认证方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104091114A (zh) * | 2014-07-04 | 2014-10-08 | 泛意创作有限公司 | 移动终端传输认证密码方法、获取认证密码方法 |
| CN105471836A (zh) * | 2014-09-29 | 2016-04-06 | 株式会社日立制作所 | 单向中继装置 |
| CN105471836B (zh) * | 2014-09-29 | 2019-03-22 | 株式会社日立制作所 | 单向中继装置 |
| CN105357740A (zh) * | 2015-09-23 | 2016-02-24 | 惠州Tcl移动通信有限公司 | 一种无线网络的接入方法及无线访问节点 |
| CN107612711A (zh) * | 2017-08-15 | 2018-01-19 | 上海斐讯数据通信技术有限公司 | 一种基于中文ssid的引导连接待配置无线设备的方法及系统 |
| CN107612711B (zh) * | 2017-08-15 | 2020-12-25 | 何雄英 | 一种基于中文ssid的引导连接待配置无线设备的方法及系统 |
| CN114500098A (zh) * | 2022-03-03 | 2022-05-13 | 广州市智荟环保有限公司 | 一种验证方法、装置和计算机设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103425923B (zh) | 2017-08-04 |
| US20130318587A1 (en) | 2013-11-28 |
| JP5994390B2 (ja) | 2016-09-21 |
| JP2013246577A (ja) | 2013-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103425923A (zh) | 认证方法和无线连接装置 | |
| CN103428892B (zh) | 通信设定方法和无线连接装置 | |
| US11336446B2 (en) | System and method for generating and depositing keys for multi-point authentication | |
| CN100411374C (zh) | 无线通信系统、通信设备及通信控制方法 | |
| EP1430640B1 (en) | A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device | |
| CN105337740B (zh) | 一种身份验证方法、客户端、中继设备及服务器 | |
| CN101147362A (zh) | 连接参数设置系统及方法、接入点、服务器、无线终端和参数设置设备 | |
| JP4803145B2 (ja) | 鍵共有方法、鍵配信システム | |
| CN103237305B (zh) | 面向移动终端上的智能卡密码保护方法 | |
| EP3724798B1 (en) | Method for authenticating a user based on an image relation rule and corresponding first user device, server and system | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN107690642A (zh) | 无线通信 | |
| CN101841814B (zh) | 终端鉴权方法及系统 | |
| CN101765998A (zh) | 使用认证票证来初始化计算机 | |
| US7099476B2 (en) | Method for updating a network ciphering key | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| CN101447983A (zh) | 认证一次性虚拟秘密信息的系统和方法 | |
| CN106790036B (zh) | 一种信息防篡改方法、装置、服务器和终端 | |
| CN114208113A (zh) | 用于访问私钥的方法、第一设备、第一服务器、第二服务器和系统 | |
| EP1311136A1 (en) | Authentication in telecommunications networks | |
| CN104980266B (zh) | 数据通信方法和系统 | |
| CN109743716A (zh) | 一种基于nfc的无线局域网络认证系统与方法 | |
| JP5880660B2 (ja) | 通信設定方法および無線接続装置 | |
| EP2940618A1 (en) | Method, system, user equipment and program for authenticating a user | |
| CN106330897A (zh) | 一种信息存储方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |