JP2003023432A - 無線lanに適したネットワークアクセス制御方法、そのシステム及びそのプログラム - Google Patents
無線lanに適したネットワークアクセス制御方法、そのシステム及びそのプログラムInfo
- Publication number
- JP2003023432A JP2003023432A JP2001205313A JP2001205313A JP2003023432A JP 2003023432 A JP2003023432 A JP 2003023432A JP 2001205313 A JP2001205313 A JP 2001205313A JP 2001205313 A JP2001205313 A JP 2001205313A JP 2003023432 A JP2003023432 A JP 2003023432A
- Authority
- JP
- Japan
- Prior art keywords
- user
- user computer
- computer
- communication
- common key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【目的】 無線LANにおいて、偽造されたMACアド
レスやIPアドレスの使用を防止でき、これによってネ
ットワークシステムの不正利用を防止できるネットワー
クアクセス制御システムを提供しようとするものであ
る。 【構成】 基幹ネットワークへの中継制御を行なうゲー
トコンピュータに設けられた、共通鍵生成手段、共通鍵
対応付手段、共通鍵送付手段、暗号化交信手段、交信監
視手段、認証手段、及び、基幹ネットワーク接続手段で
構成される。
レスやIPアドレスの使用を防止でき、これによってネ
ットワークシステムの不正利用を防止できるネットワー
クアクセス制御システムを提供しようとするものであ
る。 【構成】 基幹ネットワークへの中継制御を行なうゲー
トコンピュータに設けられた、共通鍵生成手段、共通鍵
対応付手段、共通鍵送付手段、暗号化交信手段、交信監
視手段、認証手段、及び、基幹ネットワーク接続手段で
構成される。
Description
【0001】
【発明の属する技術分野】この発明は、無線LANに適
したネットワークアクセス制御方法、そのシステム及び
そのプログラムに関する。
したネットワークアクセス制御方法、そのシステム及び
そのプログラムに関する。
【0002】
【従来の技術】一般企業や大学、研究機関等において、
社員や学生、教職員、研究者等に各種情報を提供した
り、コンピュータによる処理サービスを提供したりする
ために、コンピュータネットワークが設置されている。
これらのコンピュータネットワークは、最近では、イン
ターネットを介して外部のネットワークに接続すること
により、大学や研究機関内部における情報提供に限ら
ず、より多くの情報やサービスの提供を可能としてい
る。そのため、これらのコンピュータネットワークへの
アクセス手段としては、一般に、通信用としてインター
ネットに用いられている、汎用性の高いTCP/IP
(Transmission Control Protocol /Internet Proto
col)が用いられ、アプリケーション用としては、HT
TPやSMTP、POP、FTP、TELNET等が用
いられている。また、社員や学生、教職員、研究者等
の、ネットワーク利用者が使用する端末との接続には、
LAN(LocalAria Network)が用いられている。
社員や学生、教職員、研究者等に各種情報を提供した
り、コンピュータによる処理サービスを提供したりする
ために、コンピュータネットワークが設置されている。
これらのコンピュータネットワークは、最近では、イン
ターネットを介して外部のネットワークに接続すること
により、大学や研究機関内部における情報提供に限ら
ず、より多くの情報やサービスの提供を可能としてい
る。そのため、これらのコンピュータネットワークへの
アクセス手段としては、一般に、通信用としてインター
ネットに用いられている、汎用性の高いTCP/IP
(Transmission Control Protocol /Internet Proto
col)が用いられ、アプリケーション用としては、HT
TPやSMTP、POP、FTP、TELNET等が用
いられている。また、社員や学生、教職員、研究者等
の、ネットワーク利用者が使用する端末との接続には、
LAN(LocalAria Network)が用いられている。
【0003】このTCP/IPを用いたコンピュータネ
ットワーク(以下IPネットワークと称する)では、ネ
ットワークの設置当初は、ネットワークに接続される端
末としては、デスクトップタイプのパソコンが主流で、
IPネットワークとの接続は固定接続であった。しかし
ながら、パソコンの価格が低下するとともに、ノートパ
ソコン等の小型で軽量な携帯用パソコンが多く出現して
いる今日では、パソコンを所有する社員や学生、教職
員、研究者等のネットワークの利用者が飛躍的に増大し
ている。また、自分の所有するパソコンを持ち歩き、常
に自分用の環境で仕事をしたいと考えるネットワーク利
用者が多くなっている。そこで、パソコンを使用する全
てのネットワーク利用者が、パソコンを常時IPネット
ワークに接続して使用することは、必ずしも必要でない
ことから、IPネットワークに接続が必要な利用者の
み、必要な場所で接続の上使用する方式が採用されてい
る。
ットワーク(以下IPネットワークと称する)では、ネ
ットワークの設置当初は、ネットワークに接続される端
末としては、デスクトップタイプのパソコンが主流で、
IPネットワークとの接続は固定接続であった。しかし
ながら、パソコンの価格が低下するとともに、ノートパ
ソコン等の小型で軽量な携帯用パソコンが多く出現して
いる今日では、パソコンを所有する社員や学生、教職
員、研究者等のネットワークの利用者が飛躍的に増大し
ている。また、自分の所有するパソコンを持ち歩き、常
に自分用の環境で仕事をしたいと考えるネットワーク利
用者が多くなっている。そこで、パソコンを使用する全
てのネットワーク利用者が、パソコンを常時IPネット
ワークに接続して使用することは、必ずしも必要でない
ことから、IPネットワークに接続が必要な利用者の
み、必要な場所で接続の上使用する方式が採用されてい
る。
【0004】この方式は、情報コンセントと呼ばれる、
IPネットワークへ接続するための接続用ジャックを、
一般企業や大学、研究機関等の必要か所に設置し、必要
な場所で必要に応じて、随時パソコンを情報コンセント
に接続することにより、IPネットワークを利用する方
式である。この方式においては、情報コンセントに接続
しさえすれば、誰でもIPネットワークを利用すること
ができるのが、現在の主流である。しかし、最近になっ
て、予め利用資格者をそのIDとパスワードと共に当該
システムに登録しておき、利用に際しては、このIDと
パスワードにより、利用者が登録された利用資格者であ
ることを確認した上で、利用を認める方法が提案され、
一部で採用され始めている。この方式では、IDとパス
ワードを用いた認証手続きにより、ネットワーク利用者
が利用資格者であることを確認することから、利用無資
格者が利用することを防止できる。
IPネットワークへ接続するための接続用ジャックを、
一般企業や大学、研究機関等の必要か所に設置し、必要
な場所で必要に応じて、随時パソコンを情報コンセント
に接続することにより、IPネットワークを利用する方
式である。この方式においては、情報コンセントに接続
しさえすれば、誰でもIPネットワークを利用すること
ができるのが、現在の主流である。しかし、最近になっ
て、予め利用資格者をそのIDとパスワードと共に当該
システムに登録しておき、利用に際しては、このIDと
パスワードにより、利用者が登録された利用資格者であ
ることを確認した上で、利用を認める方法が提案され、
一部で採用され始めている。この方式では、IDとパス
ワードを用いた認証手続きにより、ネットワーク利用者
が利用資格者であることを確認することから、利用無資
格者が利用することを防止できる。
【0005】ところで、端末との接続にLANを用いた
IPネットワークシステムでは、パッケット単位で送受
信を行なうパッケット通信方式が採用されており、この
パケットには送信元や送信先を示す識別情報が付加さ
れ、これらの識別情報として、LANにはMACアドレ
ス(Media Access Control Address)、IPネットワー
クにはIPアドレスが用いられている。そこで、上記の
IDとパスワードを用いた認証手続きを用いる方法で
は、IPネットワークシステムは、ネットワーク利用者
のIDとパスワードが登録されたものであることを確認
すると、その利用者が使用しているパソコン等の利用者
コンピュータの送信元MACアドレスとIPアドレス、
即ち、利用者コンピュータを識別するMACアドレスと
IPアドレスを記憶する。そして、その利用者コンピュ
ータによる交信が終了するまで、その送信に用いられて
いるこれらのアドレスをチェックして、これらが当該I
Pネットワークシステムに記憶されたアドレスと同じ場
合のみ送信を許容するとともに、交信終了によりこれら
のアドレスの記憶を消去している。
IPネットワークシステムでは、パッケット単位で送受
信を行なうパッケット通信方式が採用されており、この
パケットには送信元や送信先を示す識別情報が付加さ
れ、これらの識別情報として、LANにはMACアドレ
ス(Media Access Control Address)、IPネットワー
クにはIPアドレスが用いられている。そこで、上記の
IDとパスワードを用いた認証手続きを用いる方法で
は、IPネットワークシステムは、ネットワーク利用者
のIDとパスワードが登録されたものであることを確認
すると、その利用者が使用しているパソコン等の利用者
コンピュータの送信元MACアドレスとIPアドレス、
即ち、利用者コンピュータを識別するMACアドレスと
IPアドレスを記憶する。そして、その利用者コンピュ
ータによる交信が終了するまで、その送信に用いられて
いるこれらのアドレスをチェックして、これらが当該I
Pネットワークシステムに記憶されたアドレスと同じ場
合のみ送信を許容するとともに、交信終了によりこれら
のアドレスの記憶を消去している。
【0006】そうすると、パケットに付加されているM
ACアドレスとIPアドレスが、当該システムに記憶さ
れたアドレスと同じであれば、それが認証手続きを経た
利用者コンピュータから発信されたものであるか否かに
かかわりなく、そのパケットは送信を許可されてしま
う。また、IPネットワークは、オープンなネットワー
クであることから、送信情報を暗号化する等のセキュリ
ティ対策が施されていない限り、送信情報を盗聴される
危険が常に存在する。そのため、認証手続きを経た利用
者が交信中に、第3者が、自らのコンピュータの識別用
MACアドレスとIPアドレスを、認証手続きを経た利
用者コンピュータの識別用MACアドレスとIPアドレ
スに変更する偽造を行なって、認証手続きを経た利用者
本人に成りすますことにより、当該IPネットワークシ
ステムを不正利用される恐れがある。あるいは、これと
は逆に、認証手続きを経た利用者本人が、交信の途中
で、利用者本人のコンピュータの識別用MACアドレス
とIPアドレスを、既に認証手続きを経て当該システム
に記憶されている第3者のコンピュータの識別用MAC
アドレスとIPアドレスに変更する偽造を行なって、他
人に成りすますことにより、当該IPネットワークシス
テムを不正利用される恐れがある。
ACアドレスとIPアドレスが、当該システムに記憶さ
れたアドレスと同じであれば、それが認証手続きを経た
利用者コンピュータから発信されたものであるか否かに
かかわりなく、そのパケットは送信を許可されてしま
う。また、IPネットワークは、オープンなネットワー
クであることから、送信情報を暗号化する等のセキュリ
ティ対策が施されていない限り、送信情報を盗聴される
危険が常に存在する。そのため、認証手続きを経た利用
者が交信中に、第3者が、自らのコンピュータの識別用
MACアドレスとIPアドレスを、認証手続きを経た利
用者コンピュータの識別用MACアドレスとIPアドレ
スに変更する偽造を行なって、認証手続きを経た利用者
本人に成りすますことにより、当該IPネットワークシ
ステムを不正利用される恐れがある。あるいは、これと
は逆に、認証手続きを経た利用者本人が、交信の途中
で、利用者本人のコンピュータの識別用MACアドレス
とIPアドレスを、既に認証手続きを経て当該システム
に記憶されている第3者のコンピュータの識別用MAC
アドレスとIPアドレスに変更する偽造を行なって、他
人に成りすますことにより、当該IPネットワークシス
テムを不正利用される恐れがある。
【0007】そこで、これらの不正利用を防止するため
に、当該ネットワークシステムに接続する可能性のある
全ての利用者コンピュータの識別用MACアドレスを、
当該システムに予め登録しておき、登録された識別用M
ACアドレスを具備するパケットのみ送信を許可するす
る方法が採用されている。しかし、この方法では、利用
者が多数いる場合は、登録や管理に手間がかかる上、利
用者コンピュータの識別用MACアドレスやIPアドレ
スが偽造されても全く検知できないという欠点がある。
そこで、これらの欠点を解消するため、「利用者ごとの
アクセス制御を実現する情報コンセント不正利用防止方
式」(平成13年1月発行の、情報処理学会論文誌、第
42巻、第1号、79ページ以降に記載)が考案されて
いる。この方式は、有線LANにおいて、利用者コンピ
ュータの識別用MACアドレスとIPアドレスのほか、
利用者コンピュータが接続されるIEEE802.1Q
規格に準拠したスイッチングハブのポートのポート識別
子を、拡張されたMACヘッダーに付加することによ
り、利用者コンピュータが送信するパケットに具備され
た、利用者コンピュータの識別用MACアドレスとIP
アドレスおよびこのポート識別子の3者の組み合わせ
を、利用者コンピュータの送信の都度チェックするもの
である。この方法では、偽造されたMACアドレスとI
Pアドレスは、本来のMACアドレスとIPアドレスが
組になっているポート識別子とは異なるポート識別子と
組になっているため、偽造されたものであることを検知
することができる。
に、当該ネットワークシステムに接続する可能性のある
全ての利用者コンピュータの識別用MACアドレスを、
当該システムに予め登録しておき、登録された識別用M
ACアドレスを具備するパケットのみ送信を許可するす
る方法が採用されている。しかし、この方法では、利用
者が多数いる場合は、登録や管理に手間がかかる上、利
用者コンピュータの識別用MACアドレスやIPアドレ
スが偽造されても全く検知できないという欠点がある。
そこで、これらの欠点を解消するため、「利用者ごとの
アクセス制御を実現する情報コンセント不正利用防止方
式」(平成13年1月発行の、情報処理学会論文誌、第
42巻、第1号、79ページ以降に記載)が考案されて
いる。この方式は、有線LANにおいて、利用者コンピ
ュータの識別用MACアドレスとIPアドレスのほか、
利用者コンピュータが接続されるIEEE802.1Q
規格に準拠したスイッチングハブのポートのポート識別
子を、拡張されたMACヘッダーに付加することによ
り、利用者コンピュータが送信するパケットに具備され
た、利用者コンピュータの識別用MACアドレスとIP
アドレスおよびこのポート識別子の3者の組み合わせ
を、利用者コンピュータの送信の都度チェックするもの
である。この方法では、偽造されたMACアドレスとI
Pアドレスは、本来のMACアドレスとIPアドレスが
組になっているポート識別子とは異なるポート識別子と
組になっているため、偽造されたものであることを検知
することができる。
【0008】
【発明が解決しようとする課題】ところが、最近、上述
した情報コンセントの機能を、無線LANで実現しよう
とする試みが進んでいるが、上記の方法は、利用者コン
ピュータがケーブルによりスイッチングハブのポートに
接続されることを利用しており、有線LANにおいての
み、有効に機能する方法であって、無線LANでは、利
用できない方法である。というのは、無線LANにおい
ては、利用者コンピュータからの送信が無線で行われる
ため、利用者コンピュータが接続されるスイッチングハ
ブの接続ポートなるものが存在しないからである。その
ため、無線LANにおいても、偽造されたMACアドレ
スやIPアドレスの使用を防止でき、これによってネッ
トワークシステムの不正利用を防止できるネットワーク
アクセス制御方法が望まれていた。この点に関し、無線
LANにおいても、有線LANと同様に、ネットワーク
システムに接続する可能性のある全ての利用者コンピュ
ータの識別用MACアドレスを、システムに予め登録し
ておき、登録された識別用MACアドレスを具備するパ
ケットのみ送信を許可するする方法を用いることもでき
る。しかし、上述したように、利用者が多数いる場合
は、登録や管理に手間がかかる上、利用者コンピュータ
の識別用MACアドレスやIPアドレスが偽造されても
全く検知できず、上記の要望の解決策とはなりえない。
また、無線LANに関して規定しているIEEE80
2.11規格には、ESS−ID( Extended Servic
e Set Identification)が規定されているが、この
ESS−IDは暗号化されないため、盗聴が避けられな
い。また、IEEE802.11規格には、無線LAN
における暗号化方式であるWEP(Wired Equivalent P
rivacy)が規定されているが、このWEPでは、後ほど
述べるように、盗聴を完全には防止することができず、
また偽造されたMACアドレスやIPアドレスの使用に
よる不正利用を完全に防止することはできない。そこで
この発明は、このような問題に対処するためになされた
ものであって、無線LANにおいても、偽造されたMA
CアドレスやIPアドレスの使用を防止でき、これによ
ってネットワークシステムの不正利用を防止できるネッ
トワークアクセス制御方法を提供しようとするものであ
る。
した情報コンセントの機能を、無線LANで実現しよう
とする試みが進んでいるが、上記の方法は、利用者コン
ピュータがケーブルによりスイッチングハブのポートに
接続されることを利用しており、有線LANにおいての
み、有効に機能する方法であって、無線LANでは、利
用できない方法である。というのは、無線LANにおい
ては、利用者コンピュータからの送信が無線で行われる
ため、利用者コンピュータが接続されるスイッチングハ
ブの接続ポートなるものが存在しないからである。その
ため、無線LANにおいても、偽造されたMACアドレ
スやIPアドレスの使用を防止でき、これによってネッ
トワークシステムの不正利用を防止できるネットワーク
アクセス制御方法が望まれていた。この点に関し、無線
LANにおいても、有線LANと同様に、ネットワーク
システムに接続する可能性のある全ての利用者コンピュ
ータの識別用MACアドレスを、システムに予め登録し
ておき、登録された識別用MACアドレスを具備するパ
ケットのみ送信を許可するする方法を用いることもでき
る。しかし、上述したように、利用者が多数いる場合
は、登録や管理に手間がかかる上、利用者コンピュータ
の識別用MACアドレスやIPアドレスが偽造されても
全く検知できず、上記の要望の解決策とはなりえない。
また、無線LANに関して規定しているIEEE80
2.11規格には、ESS−ID( Extended Servic
e Set Identification)が規定されているが、この
ESS−IDは暗号化されないため、盗聴が避けられな
い。また、IEEE802.11規格には、無線LAN
における暗号化方式であるWEP(Wired Equivalent P
rivacy)が規定されているが、このWEPでは、後ほど
述べるように、盗聴を完全には防止することができず、
また偽造されたMACアドレスやIPアドレスの使用に
よる不正利用を完全に防止することはできない。そこで
この発明は、このような問題に対処するためになされた
ものであって、無線LANにおいても、偽造されたMA
CアドレスやIPアドレスの使用を防止でき、これによ
ってネットワークシステムの不正利用を防止できるネッ
トワークアクセス制御方法を提供しようとするものであ
る。
【0009】
【課題を解決するための手段】ところで、インターネッ
ト等のオープンなネットワークにおいては、上述したよ
うに、ネットワークを流れる情報が盗聴される危険があ
ることから、ネットワークを流れる情報を暗号化する方
式が提案されている。この暗号化の方式としては、共通
鍵を用いる共通鍵暗号化方式と、秘密鍵とこれに対応し
た公開鍵とを組み合わせた公開鍵暗号化方式とがある。
共通鍵暗号化方式は、送信者と受信者は共に同じ共通鍵
を保持し、送信者が共通鍵を用いて暗号化した情報を、
受信者が共通鍵を用いて復号化する方式である。これに
対して、公開鍵暗号化方式は、送信者が、受信者の保有
する秘密鍵に対応した公開鍵を用いて暗号化した情報
を、受信者が秘密鍵を用いて復号化する方式である。
ト等のオープンなネットワークにおいては、上述したよ
うに、ネットワークを流れる情報が盗聴される危険があ
ることから、ネットワークを流れる情報を暗号化する方
式が提案されている。この暗号化の方式としては、共通
鍵を用いる共通鍵暗号化方式と、秘密鍵とこれに対応し
た公開鍵とを組み合わせた公開鍵暗号化方式とがある。
共通鍵暗号化方式は、送信者と受信者は共に同じ共通鍵
を保持し、送信者が共通鍵を用いて暗号化した情報を、
受信者が共通鍵を用いて復号化する方式である。これに
対して、公開鍵暗号化方式は、送信者が、受信者の保有
する秘密鍵に対応した公開鍵を用いて暗号化した情報
を、受信者が秘密鍵を用いて復号化する方式である。
【0010】この内、共通鍵暗号化方式では、共通鍵を
送信者が受信者に配布する必要があると共に、受信者以
外に対しては秘密にしておく必要があり、管理上問題が
多い。これに対して、公開鍵暗号化方式では、送信者
は、公開されており、他人に知られてもよい公開鍵を用
いて暗号化すればよく、受信者のみが、秘密鍵を他人に
漏れないようにするだけでよいので、管理が容易であ
る。しかし、この公開鍵暗号化方式は、共通鍵方式に比
べて暗号化や復号化に要する時間が長くなるという欠点
がある。そのため、この2種類の暗号化方式を組み合わ
せたハイブリッド暗号化方式が提案されている。この方
式は、公開鍵暗号化方式を用いて共通鍵を配布し、配布
の後は、共通鍵を用いて送受信を行なう方式であるの
で、共通鍵暗号化方式と公開鍵暗号化方式の双方の利点
を備えている。前述のIEEE802.11規格に規定
されているWEPは、共通鍵暗号化方式を用いており、
事前に利用者へ共通鍵を配布しておく必要があるのみな
らず、全ての利用者が同じ共通鍵を用いる方式である。
そのため、共通鍵の配布の際に漏洩する恐れがあるほ
か、この共通鍵を知っている利用者間では、その通信内
容が筒抜けになってしまい、MACアドレスやIPアド
レスが容易に盗聴できることから、偽造されたMACア
ドレスやIPアドレスの使用による不正利用を完全に防
止することはできない。この発明は、上記のハイブリッ
ド暗号化方式を無線LANに応用したものであり、上述
のWEPの有する欠点を解消するものである。また、こ
の発明は、無線LANに対して特に効果的であるが、無
線LANのみならず、有線LANにも適用することがで
きる。
送信者が受信者に配布する必要があると共に、受信者以
外に対しては秘密にしておく必要があり、管理上問題が
多い。これに対して、公開鍵暗号化方式では、送信者
は、公開されており、他人に知られてもよい公開鍵を用
いて暗号化すればよく、受信者のみが、秘密鍵を他人に
漏れないようにするだけでよいので、管理が容易であ
る。しかし、この公開鍵暗号化方式は、共通鍵方式に比
べて暗号化や復号化に要する時間が長くなるという欠点
がある。そのため、この2種類の暗号化方式を組み合わ
せたハイブリッド暗号化方式が提案されている。この方
式は、公開鍵暗号化方式を用いて共通鍵を配布し、配布
の後は、共通鍵を用いて送受信を行なう方式であるの
で、共通鍵暗号化方式と公開鍵暗号化方式の双方の利点
を備えている。前述のIEEE802.11規格に規定
されているWEPは、共通鍵暗号化方式を用いており、
事前に利用者へ共通鍵を配布しておく必要があるのみな
らず、全ての利用者が同じ共通鍵を用いる方式である。
そのため、共通鍵の配布の際に漏洩する恐れがあるほ
か、この共通鍵を知っている利用者間では、その通信内
容が筒抜けになってしまい、MACアドレスやIPアド
レスが容易に盗聴できることから、偽造されたMACア
ドレスやIPアドレスの使用による不正利用を完全に防
止することはできない。この発明は、上記のハイブリッ
ド暗号化方式を無線LANに応用したものであり、上述
のWEPの有する欠点を解消するものである。また、こ
の発明は、無線LANに対して特に効果的であるが、無
線LANのみならず、有線LANにも適用することがで
きる。
【0011】次に、本発明の第1の無線LANに適した
ネットワークアクセス制御方法(以下、第1の方法と称
する)について説明する。本発明の第1の方法は、基幹
ネットワークへの利用者コンピュータのアクセスを中継
制御するゲートコンピュータに、利用者IDおよびパス
ワードが予め登録されている利用者が使用する前記利用
者コンピュータと、前記ゲートコンピュータとが無線接
続されて構成されるローカルネットワークにおいて、前
記ゲートコンピュータは、前記利用者コンピュータとの
交信を開始する毎に、新たな共通鍵を生成するととも
に、この共通鍵と、前記利用者コンピュータの具備する
利用者コンピュータ識別子との対応付けを行ない、前記
利用者の秘密鍵に対応する公開鍵を用いて暗号化した前
記共通鍵を、前記利用者コンピュータへ送付し、この送
付以後、前記利用者コンピュータにより前記共通鍵を用
いて暗号化された前記利用者コンピュータからの送信を
受信するとともに、前記利用者コンピュータへの送信を
前記共通鍵を用いて暗号化することにより、前記利用者
コンピュータとの暗号化された交信を行ない、この暗号
化された交信を監視して、前記共通鍵と対応付けられた
前記利用者コンピュータ識別子が用いられている交信で
ある許容交信のみ許容し、前記許容交信を用いて、前記
利用者コンピュータから送付された利用者IDおよびパ
スワードを受け取ると共に、この利用者IDおよびパス
ワードが前記ゲートコンピュータに登録されているもの
であることを確認すると、前記利用者コンピュータに対
して、前記許容交信を介してなされる前記基幹ネットワ
ークへのアクセスを許可することを特徴とする無線LA
Nに適したネットワークアクセス制御方法である。
ネットワークアクセス制御方法(以下、第1の方法と称
する)について説明する。本発明の第1の方法は、基幹
ネットワークへの利用者コンピュータのアクセスを中継
制御するゲートコンピュータに、利用者IDおよびパス
ワードが予め登録されている利用者が使用する前記利用
者コンピュータと、前記ゲートコンピュータとが無線接
続されて構成されるローカルネットワークにおいて、前
記ゲートコンピュータは、前記利用者コンピュータとの
交信を開始する毎に、新たな共通鍵を生成するととも
に、この共通鍵と、前記利用者コンピュータの具備する
利用者コンピュータ識別子との対応付けを行ない、前記
利用者の秘密鍵に対応する公開鍵を用いて暗号化した前
記共通鍵を、前記利用者コンピュータへ送付し、この送
付以後、前記利用者コンピュータにより前記共通鍵を用
いて暗号化された前記利用者コンピュータからの送信を
受信するとともに、前記利用者コンピュータへの送信を
前記共通鍵を用いて暗号化することにより、前記利用者
コンピュータとの暗号化された交信を行ない、この暗号
化された交信を監視して、前記共通鍵と対応付けられた
前記利用者コンピュータ識別子が用いられている交信で
ある許容交信のみ許容し、前記許容交信を用いて、前記
利用者コンピュータから送付された利用者IDおよびパ
スワードを受け取ると共に、この利用者IDおよびパス
ワードが前記ゲートコンピュータに登録されているもの
であることを確認すると、前記利用者コンピュータに対
して、前記許容交信を介してなされる前記基幹ネットワ
ークへのアクセスを許可することを特徴とする無線LA
Nに適したネットワークアクセス制御方法である。
【0012】図1は、上記の第1の方法で用いられるネ
ットワークの構成を示したものである。ここでLANと
称するのは、ハードウェアで固定されたMACアドレス
を用いるイーサネット(登録商標)(Ethernet
(登録商標))等の、IEEE802で規定されている
現行の、いわゆるLAN(Local Aria Network)(以
下、狭義のLANと称する)のみならず、今後発展する
形態を含めたもっと広い概念であり、エリアが地域的に
限定されたネットワーク全般(以下、広義のLANと称
する)を意味する。図1において、このネットワーク
は、基幹ネットワーク1とローカルネットワーク2とで
構成されている。ローカルネットワーク2は複数の利用
者コンピュータ4とゲートコンピュータ3とで構成さ
れ、利用者コンピュータ4はゲートコンピュータ3に接
続されると共に、このゲートコンピュータ3と基幹ネッ
トワーク1とが接続されている。この利用者コンピュー
タ4とゲートコンピュータ3とは、常に接続されている
場合もあれば、利用者コンピュータ4が必要なときのみ
接続される場合もある。また、ゲートコンピュータ3
は、利用者コンピュータ4を基幹ネットワーク1へ接続
するための中継制御用コンピュータで、1台または複数
台のコンピュータで構成され、このゲートコンピュータ
3には、利用者コンピュータ4を使用して基幹ネットワ
ーク1へアクセスする利用者の利用者IDおよびパスワ
ードが予め登録されている。
ットワークの構成を示したものである。ここでLANと
称するのは、ハードウェアで固定されたMACアドレス
を用いるイーサネット(登録商標)(Ethernet
(登録商標))等の、IEEE802で規定されている
現行の、いわゆるLAN(Local Aria Network)(以
下、狭義のLANと称する)のみならず、今後発展する
形態を含めたもっと広い概念であり、エリアが地域的に
限定されたネットワーク全般(以下、広義のLANと称
する)を意味する。図1において、このネットワーク
は、基幹ネットワーク1とローカルネットワーク2とで
構成されている。ローカルネットワーク2は複数の利用
者コンピュータ4とゲートコンピュータ3とで構成さ
れ、利用者コンピュータ4はゲートコンピュータ3に接
続されると共に、このゲートコンピュータ3と基幹ネッ
トワーク1とが接続されている。この利用者コンピュー
タ4とゲートコンピュータ3とは、常に接続されている
場合もあれば、利用者コンピュータ4が必要なときのみ
接続される場合もある。また、ゲートコンピュータ3
は、利用者コンピュータ4を基幹ネットワーク1へ接続
するための中継制御用コンピュータで、1台または複数
台のコンピュータで構成され、このゲートコンピュータ
3には、利用者コンピュータ4を使用して基幹ネットワ
ーク1へアクセスする利用者の利用者IDおよびパスワ
ードが予め登録されている。
【0013】図2は、上記の第1の方法の動作を説明し
たフローチャートである。図中、S番号はステップ番号
を、GCはゲートコンピュータ3を、そして、UCは利
用者コンピュータ4を表す。図2において、ゲートコン
ピュータ3は、まず、利用者コンピュータ4と交信を開
始する。ここで、交信を開始するとは、利用者コンピュ
ータ4が所定の目的を達成するためにゲートコンピュー
タ3と行なう双方向の一連の通信の開始の要求に応じて
この一連の通信を開始することを言う。ゲートコンピュ
ータ3はこの交信を開始する毎に、共通鍵暗号化方式に
用いる新たな共通鍵を生成するとともに(S1)、利用
者コンピュータ4が具備するIPアドレス等の利用者コ
ンピュータ識別子との対応付けを行なう(S2)。この
利用者コンピュータ識別子は、利用者コンピュータ4が
送信を行なう際の送信元を示す識別子である。この対応
付けにより、特定の共通鍵が特定の利用者コンピュータ
識別子と対応付けられる。次に、ゲートコンピュータ3
が利用者コンピュータ4の公開鍵を用いて共通鍵を暗号
化して利用者コンピュータ4へ送付する(S3)。この
暗号化された共通鍵を受信した利用者コンピュータ4
は、自らが保有する秘密鍵で復号化することにより、共
通鍵を入手する。そして、その後のゲートコンピュータ
3と利用者コンピュータ4との交信は、共通鍵を用いて
暗号化される(S4)。即ち、利用者コンピュータ4か
らゲートコンピュータ3への送信は、利用者コンピュー
タ4が共通鍵を用いて暗号化するとともに、これを受信
したゲートコンピュータ3が共通鍵を用いて復号化し、
逆に、ゲートコンピュータ3から利用者コンピュータ4
への送信は、ゲートコンピュータ3が共通鍵を用いて暗
号化するとともに、これを受信した利用者コンピュータ
4が共通鍵を用いて復号化する。このようにして暗号化
されたゲートコンピュータ3と利用者コンピュータ4と
の交信を、ゲートコンピュータ3が監視し、この交信
が、この交信に用いられている共通鍵に対応付けられた
利用者コンピュータ識別子を用いている交信である許容
交信であるか否かを、チェックする(S5)。許容交信
でない場合は、ゲートコンピュータ3はこの交信を終了
し、許容交信の場合は、交信が許容される(S6)。ゲ
ートコンピュータ3が、この許容交信を用いて利用者コ
ンピュータ4を使用している利用者の利用者IDおよび
パスワードを、利用者コンピュータ4から受け取ると
(S7)、この利用者IDおよびパスワードがゲートコ
ンピュータ3に予め登録されたものであるか否かをチェ
ックし(S8)、予め登録されたものでなければ交信を
終了する(S9)。予め登録されたものであれば(S
9)、利用者コンピュータ4に対して、許容交信を介し
てなされる基幹ネットワーク1へのアクセスを許可する
(S10)。
たフローチャートである。図中、S番号はステップ番号
を、GCはゲートコンピュータ3を、そして、UCは利
用者コンピュータ4を表す。図2において、ゲートコン
ピュータ3は、まず、利用者コンピュータ4と交信を開
始する。ここで、交信を開始するとは、利用者コンピュ
ータ4が所定の目的を達成するためにゲートコンピュー
タ3と行なう双方向の一連の通信の開始の要求に応じて
この一連の通信を開始することを言う。ゲートコンピュ
ータ3はこの交信を開始する毎に、共通鍵暗号化方式に
用いる新たな共通鍵を生成するとともに(S1)、利用
者コンピュータ4が具備するIPアドレス等の利用者コ
ンピュータ識別子との対応付けを行なう(S2)。この
利用者コンピュータ識別子は、利用者コンピュータ4が
送信を行なう際の送信元を示す識別子である。この対応
付けにより、特定の共通鍵が特定の利用者コンピュータ
識別子と対応付けられる。次に、ゲートコンピュータ3
が利用者コンピュータ4の公開鍵を用いて共通鍵を暗号
化して利用者コンピュータ4へ送付する(S3)。この
暗号化された共通鍵を受信した利用者コンピュータ4
は、自らが保有する秘密鍵で復号化することにより、共
通鍵を入手する。そして、その後のゲートコンピュータ
3と利用者コンピュータ4との交信は、共通鍵を用いて
暗号化される(S4)。即ち、利用者コンピュータ4か
らゲートコンピュータ3への送信は、利用者コンピュー
タ4が共通鍵を用いて暗号化するとともに、これを受信
したゲートコンピュータ3が共通鍵を用いて復号化し、
逆に、ゲートコンピュータ3から利用者コンピュータ4
への送信は、ゲートコンピュータ3が共通鍵を用いて暗
号化するとともに、これを受信した利用者コンピュータ
4が共通鍵を用いて復号化する。このようにして暗号化
されたゲートコンピュータ3と利用者コンピュータ4と
の交信を、ゲートコンピュータ3が監視し、この交信
が、この交信に用いられている共通鍵に対応付けられた
利用者コンピュータ識別子を用いている交信である許容
交信であるか否かを、チェックする(S5)。許容交信
でない場合は、ゲートコンピュータ3はこの交信を終了
し、許容交信の場合は、交信が許容される(S6)。ゲ
ートコンピュータ3が、この許容交信を用いて利用者コ
ンピュータ4を使用している利用者の利用者IDおよび
パスワードを、利用者コンピュータ4から受け取ると
(S7)、この利用者IDおよびパスワードがゲートコ
ンピュータ3に予め登録されたものであるか否かをチェ
ックし(S8)、予め登録されたものでなければ交信を
終了する(S9)。予め登録されたものであれば(S
9)、利用者コンピュータ4に対して、許容交信を介し
てなされる基幹ネットワーク1へのアクセスを許可する
(S10)。
【0014】上記の第1の方法は、次のような効果を有
する。即ち、ゲートコンピュータ3が利用者コンピュー
タ4と交信を開始する毎に、毎回異なる共通鍵を生成し
て交信に用いるので、前述のWEPのような利用者が同
じ共通鍵を用いることによる、情報の盗聴を防止するこ
とができる。また、ゲートコンピュータ3から利用者コ
ンピュータ4への共通鍵の送信に、公開鍵暗号化方式を
採用しているので、共通鍵の盗聴も防止することができ
る。また、ゲートコンピュータ3と利用者コンピュータ
4との交信の際、この交信の内容を共通鍵で暗号化する
ので、交信の内容の露見を防止することができる。ま
た、交信全てについて、共通鍵とこの共通鍵に対応付け
られた利用者コンピュータ識別子との組み合わせが用い
られているか否かをチェックするので、交信に偽造され
た利用者コンピュータ識別子が使用されていれば、それ
を検知することができ、利用者本人が他人に成りすまし
たり、他人が利用者本人に成りすましたりして行なわれ
る、ネットワークシステムの不正利用を防止することが
できる。また、利用者IDとパスワードにより、利用者
の認証を行なうので、利用資格を有しない利用者を排除
できる。また、利用者本人が他人に成りすましたり、他
人が利用者本人に成りすましたりすることができないこ
とから、認証さえされれば、その交信は有資格者の行な
う交信であることが保証されるので、上記の不正利用防
止のために、利用者全員の利用者コンピュータ識別子
を、予めネットワークシステムに登録しておく等の必要
がなく、この登録やその管理等に要する手間を省くこと
ができる。
する。即ち、ゲートコンピュータ3が利用者コンピュー
タ4と交信を開始する毎に、毎回異なる共通鍵を生成し
て交信に用いるので、前述のWEPのような利用者が同
じ共通鍵を用いることによる、情報の盗聴を防止するこ
とができる。また、ゲートコンピュータ3から利用者コ
ンピュータ4への共通鍵の送信に、公開鍵暗号化方式を
採用しているので、共通鍵の盗聴も防止することができ
る。また、ゲートコンピュータ3と利用者コンピュータ
4との交信の際、この交信の内容を共通鍵で暗号化する
ので、交信の内容の露見を防止することができる。ま
た、交信全てについて、共通鍵とこの共通鍵に対応付け
られた利用者コンピュータ識別子との組み合わせが用い
られているか否かをチェックするので、交信に偽造され
た利用者コンピュータ識別子が使用されていれば、それ
を検知することができ、利用者本人が他人に成りすまし
たり、他人が利用者本人に成りすましたりして行なわれ
る、ネットワークシステムの不正利用を防止することが
できる。また、利用者IDとパスワードにより、利用者
の認証を行なうので、利用資格を有しない利用者を排除
できる。また、利用者本人が他人に成りすましたり、他
人が利用者本人に成りすましたりすることができないこ
とから、認証さえされれば、その交信は有資格者の行な
う交信であることが保証されるので、上記の不正利用防
止のために、利用者全員の利用者コンピュータ識別子
を、予めネットワークシステムに登録しておく等の必要
がなく、この登録やその管理等に要する手間を省くこと
ができる。
【0015】次に、第2の無線LANに適したネットワ
ークアクセス制御方法(以下、第2の方法と称する)と
して、上記の第1の方法において、基幹ネットワークと
してIPアドレスを用いたネットワークとし、ローカル
ネットワークがIPアドレスおよびMACアドレスを用
いたネットワークとするとともに、利用者コンピュータ
識別子として、利用者コンピュータの具備するMACア
ドレス、または、IPアドレスもしくはその双方を用い
た方法を構成することができる。即ち、基幹ネットワー
クとして、インターネットやイントラネット等のIPネ
ットワークを用い、ローカルネットワークとして、前述
の狭義のLANを用いた方法を構成することができる。
インターネットやイントラネット、あるいは、前述の狭
義のLANは、現在広く使用されており、一般的なネッ
トワークである。
ークアクセス制御方法(以下、第2の方法と称する)と
して、上記の第1の方法において、基幹ネットワークと
してIPアドレスを用いたネットワークとし、ローカル
ネットワークがIPアドレスおよびMACアドレスを用
いたネットワークとするとともに、利用者コンピュータ
識別子として、利用者コンピュータの具備するMACア
ドレス、または、IPアドレスもしくはその双方を用い
た方法を構成することができる。即ち、基幹ネットワー
クとして、インターネットやイントラネット等のIPネ
ットワークを用い、ローカルネットワークとして、前述
の狭義のLANを用いた方法を構成することができる。
インターネットやイントラネット、あるいは、前述の狭
義のLANは、現在広く使用されており、一般的なネッ
トワークである。
【0016】この第2の方法は、基幹ネットワークやロ
ーカルネットワーク、利用者コンピュータ識別子といっ
た個々の要素に、現在広く使用されている、より具体的
なものを使用して、無線LANに適したネットワークア
クセス制御方法を構成したもので、その動作は、上述し
た第1の方法と同様であり、従って、効果についても同
様である。
ーカルネットワーク、利用者コンピュータ識別子といっ
た個々の要素に、現在広く使用されている、より具体的
なものを使用して、無線LANに適したネットワークア
クセス制御方法を構成したもので、その動作は、上述し
た第1の方法と同様であり、従って、効果についても同
様である。
【0017】次に、第3の無線LANに適したネットワ
ークアクセス制御方法(以下、第3の方法と称する)と
して、上記の第2の方法において、利用者コンピュータ
識別子として、MACアドレス、および、IPアドレス
を用いると共に、ゲートコンピュータが、利用者コンピ
ュータとの交信を開始する毎に、利用者コンピュータに
対して、共通鍵の送付に先立って、利用者コンピュータ
識別子用のIPアドレスを付与するようにした方法を、
構成することができる。
ークアクセス制御方法(以下、第3の方法と称する)と
して、上記の第2の方法において、利用者コンピュータ
識別子として、MACアドレス、および、IPアドレス
を用いると共に、ゲートコンピュータが、利用者コンピ
ュータとの交信を開始する毎に、利用者コンピュータに
対して、共通鍵の送付に先立って、利用者コンピュータ
識別子用のIPアドレスを付与するようにした方法を、
構成することができる。
【0018】現在使用されているインターネットやイン
トラネット等のIPネットワークは著しく増大してお
り、このためIPネットワークにおいては、使用できる
IPアドレスが不足する事態が発生してきている。そこ
で、少ないIPアドレスを有効に活用できるよう、利用
者コンピュータがネットワークに接続される都度、DH
CP(Dynamic Host Configuration Protocol)サーバ
が、予め割り当てられたIPアドレスの中から利用者コ
ンピュータ識別用のIPアドレスを、利用者コンピュー
タに付与するシステムが一般に用いられている。第3の
方法は、このDHCPサーバの機能をゲートコンピュー
タに持たせたものである。
トラネット等のIPネットワークは著しく増大してお
り、このためIPネットワークにおいては、使用できる
IPアドレスが不足する事態が発生してきている。そこ
で、少ないIPアドレスを有効に活用できるよう、利用
者コンピュータがネットワークに接続される都度、DH
CP(Dynamic Host Configuration Protocol)サーバ
が、予め割り当てられたIPアドレスの中から利用者コ
ンピュータ識別用のIPアドレスを、利用者コンピュー
タに付与するシステムが一般に用いられている。第3の
方法は、このDHCPサーバの機能をゲートコンピュー
タに持たせたものである。
【0019】従って、第3の方法によれば、少ないIP
アドレスを有効に活用できる。
アドレスを有効に活用できる。
【0020】上述の各無線LANに適したネットワーク
アクセス制御方法では、ローカルネットワークは、利用
者コンピュータとゲートコンピュータとが無線接続され
て構成されているが、無線接続に代えて、有線接続され
て構成されていてもよい。即ち、第4の無線LANに適
したネットワークアクセス制御方法(以下、第4の方法
と称する)として、上記の第1から第3の方法におい
て、ローカルネットワークとして、利用者コンピュータ
とゲートコンピュータとが、無線接続に代えて、有線接
続されている各無線LANに適したネットワークアクセ
ス制御方法を構成できる。この第4の方法は、利用者コ
ンピュータとゲートコンピュータとの接続が、無線接続
から有線接続になっただけで、その効果は第1から第3
の方法とまったく同じである。
アクセス制御方法では、ローカルネットワークは、利用
者コンピュータとゲートコンピュータとが無線接続され
て構成されているが、無線接続に代えて、有線接続され
て構成されていてもよい。即ち、第4の無線LANに適
したネットワークアクセス制御方法(以下、第4の方法
と称する)として、上記の第1から第3の方法におい
て、ローカルネットワークとして、利用者コンピュータ
とゲートコンピュータとが、無線接続に代えて、有線接
続されている各無線LANに適したネットワークアクセ
ス制御方法を構成できる。この第4の方法は、利用者コ
ンピュータとゲートコンピュータとの接続が、無線接続
から有線接続になっただけで、その効果は第1から第3
の方法とまったく同じである。
【0021】次に、本発明の第1の無線LANに適した
ネットワークアクセス制御システム(以下、第1のシス
テムと称する)について説明する。第1のシステムは、
基幹ネットワークへの利用者コンピュータのアクセスを
中継制御するゲートコンピュータに、利用者IDおよび
パスワードが予め登録されている利用者が使用する前記
利用者コンピュータと、前記ゲートコンピュータとが無
線接続されて構成されるローカルネットワークにおい
て、前記ゲートコンピュータに、前記利用者コンピュー
タとの交信を開始する毎に、新たな共通鍵を生成する共
通鍵生成手段と、この共通鍵と前記利用者コンピュータ
の具備する利用者コンピュータ識別子との対応付けを行
なう共通鍵対応付手段と、前記利用者の秘密鍵に対応す
る公開鍵を用いて暗号化した前記共通鍵を、前記利用者
コンピュータへ送付する共通鍵送付手段と、この送付以
後、前記利用者コンピュータにより前記共通鍵を用いて
暗号化された前記利用者コンピュータからの送信を受信
するとともに、前記利用者コンピュータへの送信を前記
共通鍵を用いて暗号化することにより、前記利用者コン
ピュータとの暗号化された交信を行なう暗号化交信手段
と、この暗号化された交信を監視して、前記共通鍵と対
応付けられた前記利用者コンピュータ識別子が用いられ
ている交信である許容交信のみ許容する交信監視手段
と、前記許容交信を用いて、前記利用者コンピュータか
ら送付された利用者IDおよびパスワードを受け取ると
共に、この利用者IDおよびパスワードが前記ゲートコ
ンピュータに登録されているものであることの確認をす
る認証手段と、前記確認が行なわれると、前記利用者コ
ンピュータに対して、前記許容交信を介してなされる前
記基幹ネットワークへのアクセスを許可する基幹ネット
ワーク接続手段と、を設けたことを特徴とする無線LA
Nに適したネットワークアクセス制御システムである。
ネットワークアクセス制御システム(以下、第1のシス
テムと称する)について説明する。第1のシステムは、
基幹ネットワークへの利用者コンピュータのアクセスを
中継制御するゲートコンピュータに、利用者IDおよび
パスワードが予め登録されている利用者が使用する前記
利用者コンピュータと、前記ゲートコンピュータとが無
線接続されて構成されるローカルネットワークにおい
て、前記ゲートコンピュータに、前記利用者コンピュー
タとの交信を開始する毎に、新たな共通鍵を生成する共
通鍵生成手段と、この共通鍵と前記利用者コンピュータ
の具備する利用者コンピュータ識別子との対応付けを行
なう共通鍵対応付手段と、前記利用者の秘密鍵に対応す
る公開鍵を用いて暗号化した前記共通鍵を、前記利用者
コンピュータへ送付する共通鍵送付手段と、この送付以
後、前記利用者コンピュータにより前記共通鍵を用いて
暗号化された前記利用者コンピュータからの送信を受信
するとともに、前記利用者コンピュータへの送信を前記
共通鍵を用いて暗号化することにより、前記利用者コン
ピュータとの暗号化された交信を行なう暗号化交信手段
と、この暗号化された交信を監視して、前記共通鍵と対
応付けられた前記利用者コンピュータ識別子が用いられ
ている交信である許容交信のみ許容する交信監視手段
と、前記許容交信を用いて、前記利用者コンピュータか
ら送付された利用者IDおよびパスワードを受け取ると
共に、この利用者IDおよびパスワードが前記ゲートコ
ンピュータに登録されているものであることの確認をす
る認証手段と、前記確認が行なわれると、前記利用者コ
ンピュータに対して、前記許容交信を介してなされる前
記基幹ネットワークへのアクセスを許可する基幹ネット
ワーク接続手段と、を設けたことを特徴とする無線LA
Nに適したネットワークアクセス制御システムである。
【0022】図3は、上記の第1のシステムの構成を示
したものである。ここでLANと称するのは、前述の広
義のLANを意味する。図3において、システム全体の
構成は、図1と同様であり、ゲートコンピュータ3に、
共通鍵生成手段11、共通鍵対応付手段12、共通鍵送
付手段13、暗号化交信手段14、交信監視手段15、
認証手段16、および、基幹ネットワーク接続手段17
が設けられている。
したものである。ここでLANと称するのは、前述の広
義のLANを意味する。図3において、システム全体の
構成は、図1と同様であり、ゲートコンピュータ3に、
共通鍵生成手段11、共通鍵対応付手段12、共通鍵送
付手段13、暗号化交信手段14、交信監視手段15、
認証手段16、および、基幹ネットワーク接続手段17
が設けられている。
【0023】次に、上記の第1のシステムの動作につい
て説明する。図3において、共通鍵生成手段11は、利
用者コンピュータ4との交信を開始する毎に、新たな共
通鍵を生成するとともに、共通鍵対応付手段12は、こ
の共通鍵と利用者コンピュータ4の具備する利用者コン
ピュータ識別子との対応付けを行なう。そして、共通鍵
送付手段13が、利用者の秘密鍵に対応する公開鍵を用
いて暗号化した共通鍵を、利用者コンピュータ4へ送付
し、この送付以後、暗号化交信手段14が、利用者コン
ピュータ4により共通鍵を用いて暗号化された利用者コ
ンピュータ4からの送信を受信するとともに、利用者コ
ンピュータ4への送信を共通鍵を用いて暗号化すること
により、利用者コンピュータ4との暗号化された交信を
行なう。そして、交信監視手段15が、この暗号化され
た交信を監視して、共通鍵と対応付けられた利用者コン
ピュータ識別子が用いられている交信である許容交信の
み許容する。そこで、この許容交信を用いて、認証手段
16が、利用者コンピュータ4から送付された利用者I
Dおよびパスワードを受け取ると共に、この利用者ID
およびパスワードが前記ゲートコンピュータ3に登録さ
れているものであることの確認をする。この認証の結
果、利用者IDおよびパスワードが登録されているもの
であると確認されると、基幹ネットワーク接続手段17
が、利用者コンピュータに対して、許容交信を介してな
される基幹ネットワーク1へのアクセスを許可する。即
ち、上記の第1のシステムの動作は、前述の第1の方法
の動作と全く同じである。従って、その効果も全く同様
である。
て説明する。図3において、共通鍵生成手段11は、利
用者コンピュータ4との交信を開始する毎に、新たな共
通鍵を生成するとともに、共通鍵対応付手段12は、こ
の共通鍵と利用者コンピュータ4の具備する利用者コン
ピュータ識別子との対応付けを行なう。そして、共通鍵
送付手段13が、利用者の秘密鍵に対応する公開鍵を用
いて暗号化した共通鍵を、利用者コンピュータ4へ送付
し、この送付以後、暗号化交信手段14が、利用者コン
ピュータ4により共通鍵を用いて暗号化された利用者コ
ンピュータ4からの送信を受信するとともに、利用者コ
ンピュータ4への送信を共通鍵を用いて暗号化すること
により、利用者コンピュータ4との暗号化された交信を
行なう。そして、交信監視手段15が、この暗号化され
た交信を監視して、共通鍵と対応付けられた利用者コン
ピュータ識別子が用いられている交信である許容交信の
み許容する。そこで、この許容交信を用いて、認証手段
16が、利用者コンピュータ4から送付された利用者I
Dおよびパスワードを受け取ると共に、この利用者ID
およびパスワードが前記ゲートコンピュータ3に登録さ
れているものであることの確認をする。この認証の結
果、利用者IDおよびパスワードが登録されているもの
であると確認されると、基幹ネットワーク接続手段17
が、利用者コンピュータに対して、許容交信を介してな
される基幹ネットワーク1へのアクセスを許可する。即
ち、上記の第1のシステムの動作は、前述の第1の方法
の動作と全く同じである。従って、その効果も全く同様
である。
【0024】また、上述の第2の方法と同様、上記の第
1のシステムの個々の要素に、現在広く使用されてい
る、より具体的なものを使用したシステムを構成するこ
とができる。即ち、第2の無線LANに適したネットワ
ークアクセス制御システム(以下、第2のシステムと称
する)として、上記の第1のシステムにおいて、基幹ネ
ットワークとしてIPアドレスを用いたネットワークと
し、ローカルネットワークとしてIPアドレスおよびM
ACアドレスを用いたネットワークとするとともに、利
用者コンピュータ識別子として、利用者コンピュータの
具備するMACアドレス、または、IPアドレスもしく
はその双方を用いたシステムを構成することができる。
この第2のシステムにおいても、その動作は上述の第2
の方法と同様であり、従って、第2の方法と同様の効果
を有する。
1のシステムの個々の要素に、現在広く使用されてい
る、より具体的なものを使用したシステムを構成するこ
とができる。即ち、第2の無線LANに適したネットワ
ークアクセス制御システム(以下、第2のシステムと称
する)として、上記の第1のシステムにおいて、基幹ネ
ットワークとしてIPアドレスを用いたネットワークと
し、ローカルネットワークとしてIPアドレスおよびM
ACアドレスを用いたネットワークとするとともに、利
用者コンピュータ識別子として、利用者コンピュータの
具備するMACアドレス、または、IPアドレスもしく
はその双方を用いたシステムを構成することができる。
この第2のシステムにおいても、その動作は上述の第2
の方法と同様であり、従って、第2の方法と同様の効果
を有する。
【0025】また、上述の第3の方法と同様にして、上
記の第2のシステムに、DHCPサーバの機能を持たせ
たシステムを構成することができる。即ち、第3の無線
LANに適したネットワークアクセス制御システム(以
下、第3のシステムと称する)として、上記の第2のシ
ステムにおいて、利用者コンピュータ識別子として、M
ACアドレス、および、IPアドレスを用いると共に、
ゲートコンピュータが、利用者コンピュータとの交信を
開始する毎に、利用者コンピュータに対して、共通鍵の
送付に先立って、利用者コンピュータ識別子用のIPア
ドレスを付与するようにしたシステムを、構成すること
ができる。この第3のシステムにおいても、第3の方法
と同様の効果を有する。
記の第2のシステムに、DHCPサーバの機能を持たせ
たシステムを構成することができる。即ち、第3の無線
LANに適したネットワークアクセス制御システム(以
下、第3のシステムと称する)として、上記の第2のシ
ステムにおいて、利用者コンピュータ識別子として、M
ACアドレス、および、IPアドレスを用いると共に、
ゲートコンピュータが、利用者コンピュータとの交信を
開始する毎に、利用者コンピュータに対して、共通鍵の
送付に先立って、利用者コンピュータ識別子用のIPア
ドレスを付与するようにしたシステムを、構成すること
ができる。この第3のシステムにおいても、第3の方法
と同様の効果を有する。
【0026】また、上述の第4の方法と同様に、第4の
無線LANに適したネットワークアクセス制御システム
(以下、第4のシステムと称する)として、第1から第
3のシステムにおいて、ローカルネットワークとして、
利用者コンピュータとゲートコンピュータとが、無線接
続に代えて、有線接続されているシステムを構成するこ
とができる。この第4のシステムは、利用者コンピュー
タとゲートコンピュータとの接続が、無線接続から有線
接続になっただけで、その効果は第1から第3のシステ
ムとまったく同じである。
無線LANに適したネットワークアクセス制御システム
(以下、第4のシステムと称する)として、第1から第
3のシステムにおいて、ローカルネットワークとして、
利用者コンピュータとゲートコンピュータとが、無線接
続に代えて、有線接続されているシステムを構成するこ
とができる。この第4のシステムは、利用者コンピュー
タとゲートコンピュータとの接続が、無線接続から有線
接続になっただけで、その効果は第1から第3のシステ
ムとまったく同じである。
【0027】また、上述した無線LANに適したネット
ワークアクセス制御システムが有する機能をゲートコン
ピュータで実現するためのプログラムを、作成すること
ができる。即ち、ゲートコンピュータに、上述した無線
LANに適したネットワークアクセス制御システムの有
する各手段の機能を実現させるためのプログラムであ
る。このプログラムは、第1から第4の各システムに対
して、それぞれ作成することができる。
ワークアクセス制御システムが有する機能をゲートコン
ピュータで実現するためのプログラムを、作成すること
ができる。即ち、ゲートコンピュータに、上述した無線
LANに適したネットワークアクセス制御システムの有
する各手段の機能を実現させるためのプログラムであ
る。このプログラムは、第1から第4の各システムに対
して、それぞれ作成することができる。
【0028】これらの第1から第4の各システムに対応
するプログラムによれば、上述した、第1から第4のシ
ステムが有する機能を、ゲートコンピュータで実現する
ことができる。
するプログラムによれば、上述した、第1から第4のシ
ステムが有する機能を、ゲートコンピュータで実現する
ことができる。
【0029】
【発明の実施の形態】次に、本発明の実施例につき、図
面に基づき詳しく説明する。本実施例のシステムは、基
幹ネットワークへのアクセスを要求する利用者パソコン
からの無線LANを介したアクセスが、アクセスを許可
された正規の利用者によるものか否かをチェックすると
ともに、その利用者あるいは第3者が送信元を詐称した
アクセスを防止し、さらにアクセスの内容を暗号化して
露見を防止するシステムである。尚、以下の説明におい
ては、LANは前述の狭義のLANとする。図4は、本
実施例の無線LANに適したネットワークアクセス制御
システム(以下、本システムと称する)の構成図であ
る。図4において、本システムは、ゲートコンピュータ
(GC)30と、無線LANカード(LC)22が装着
された利用者パソコン(UC)21とで構成され、ゲー
トコンピュータ(GC)30は、無線LANアクセスポ
イント(AP)31、交信制御サーバ(CS)32、D
HCPサーバ(DC)33、管理サーバ(AC)34、
認証サーバ(RS)35、および、基幹ネットワーク
(MN)41で構成される。
面に基づき詳しく説明する。本実施例のシステムは、基
幹ネットワークへのアクセスを要求する利用者パソコン
からの無線LANを介したアクセスが、アクセスを許可
された正規の利用者によるものか否かをチェックすると
ともに、その利用者あるいは第3者が送信元を詐称した
アクセスを防止し、さらにアクセスの内容を暗号化して
露見を防止するシステムである。尚、以下の説明におい
ては、LANは前述の狭義のLANとする。図4は、本
実施例の無線LANに適したネットワークアクセス制御
システム(以下、本システムと称する)の構成図であ
る。図4において、本システムは、ゲートコンピュータ
(GC)30と、無線LANカード(LC)22が装着
された利用者パソコン(UC)21とで構成され、ゲー
トコンピュータ(GC)30は、無線LANアクセスポ
イント(AP)31、交信制御サーバ(CS)32、D
HCPサーバ(DC)33、管理サーバ(AC)34、
認証サーバ(RS)35、および、基幹ネットワーク
(MN)41で構成される。
【0030】ゲートコンピュータ30は、それ自身がネ
ットワークであり、MACアドレスを用いる有線方式の
前述の狭義のLANであると共に、IPアドレスを用い
るIPネットワークである。そのため、ゲートコンピュ
ータ30を構成する無線LANアクセスポイント31、
交信制御サーバ32、DHCPサーバ33、管理サーバ
34、および認証サーバ35には、IPアドレス及びM
ACアドレスが付与されている。また、利用者パソコン
21は無線LANカード22の有するMACアドレスを
用いるが、利用者パソコン21にはIPアドレスは付与
されておらず、ゲートコンピュータ30と交信の際に、
DHCPサーバ33からIPアドレスが割り当てられ
る。また、基幹ネットワーク41はIPネットワークで
ある。そして、IPネットワークでは、TCP/IPを
用いたパケット通信が行なわれる。
ットワークであり、MACアドレスを用いる有線方式の
前述の狭義のLANであると共に、IPアドレスを用い
るIPネットワークである。そのため、ゲートコンピュ
ータ30を構成する無線LANアクセスポイント31、
交信制御サーバ32、DHCPサーバ33、管理サーバ
34、および認証サーバ35には、IPアドレス及びM
ACアドレスが付与されている。また、利用者パソコン
21は無線LANカード22の有するMACアドレスを
用いるが、利用者パソコン21にはIPアドレスは付与
されておらず、ゲートコンピュータ30と交信の際に、
DHCPサーバ33からIPアドレスが割り当てられ
る。また、基幹ネットワーク41はIPネットワークで
ある。そして、IPネットワークでは、TCP/IPを
用いたパケット通信が行なわれる。
【0031】無線LANアクセスポイント31は、無線
LANカード22との組み合わせで、IEEE802.
11規格に規定されている無線LANシステムを構成す
る。交信制御サーバ32は、本システムにおける重要な
役割を担っており、DHCPサーバ33や管理サーバ3
4、基幹ネットワーク41への中継、交信内容を暗号化
するための共通鍵の生成、この共通鍵と利用者パソコン
識別子との対応付け、共通鍵の利用者パソコン21への
送信、交信の暗号化、交信の検証等を行なう。DHCP
サーバ33は、交信を要求する利用者パソコン21に対
して、利用者パソコン識別子としてIPアドレスを付与
する。また、管理サーバ34は、交信の記録の収集、保
存や、認証サーバ35の保有するデータを用いて、利用
者の認証を行なう。そのため、認証サーバ35には、本
システムの利用資格者に関する情報と共に、その利用者
IDとパスワードとが予め登録されている。利用資格者
に関する情報には、交信制御サーバ32が利用者パソコ
ン21に共通鍵を送付する際に使用する、利用者の秘密
鍵に対応した公開鍵も含まれている。上記の各サーバ等
は、自らが有する各機能を実行するために必要な、ハー
ドウェア、ソフトウェアを備えており、また、利用者パ
ソコン21は、上記の各サーバ等に対してアクセスする
ために必要な、ハードウェア、ソフトウェアを備えてい
る。
LANカード22との組み合わせで、IEEE802.
11規格に規定されている無線LANシステムを構成す
る。交信制御サーバ32は、本システムにおける重要な
役割を担っており、DHCPサーバ33や管理サーバ3
4、基幹ネットワーク41への中継、交信内容を暗号化
するための共通鍵の生成、この共通鍵と利用者パソコン
識別子との対応付け、共通鍵の利用者パソコン21への
送信、交信の暗号化、交信の検証等を行なう。DHCP
サーバ33は、交信を要求する利用者パソコン21に対
して、利用者パソコン識別子としてIPアドレスを付与
する。また、管理サーバ34は、交信の記録の収集、保
存や、認証サーバ35の保有するデータを用いて、利用
者の認証を行なう。そのため、認証サーバ35には、本
システムの利用資格者に関する情報と共に、その利用者
IDとパスワードとが予め登録されている。利用資格者
に関する情報には、交信制御サーバ32が利用者パソコ
ン21に共通鍵を送付する際に使用する、利用者の秘密
鍵に対応した公開鍵も含まれている。上記の各サーバ等
は、自らが有する各機能を実行するために必要な、ハー
ドウェア、ソフトウェアを備えており、また、利用者パ
ソコン21は、上記の各サーバ等に対してアクセスする
ために必要な、ハードウェア、ソフトウェアを備えてい
る。
【0032】次に、図4の本システムの動作について説
明する。図6及び図7は、本システムの動作を示したフ
ローチャートである。図6において、最初に初期ルーチ
ン(S21)が行なわれる。このルーチンの詳細は、図
7に記載されている。まず、利用者パソコン21が無線
LANカード22及び無線LANアクセスポイント31
を介して交信制御サーバ32に交信開始要求をする。こ
こで交信開始要求とは、利用者パソコン21が所定の目
的を達成するためにゲートコンピュータ30と行なう双
方向の一連の通信の開始を要求することを言う。する
と、交信制御サーバ32はこれを受けてDHCPサーバ
33へ中継する(S41)。この際、交信制御サーバ3
2は、利用者パソコンの送信元MACアドレスを検出し
て利用者パソコン識別子として記憶する。DHCPサー
バ33は、前述したように、予め本システムに割り当て
られたIPアドレスの中から利用者パソコン識別用のI
Pアドレスを、利用者パソコン識別子として利用者パソ
コン21に付与する(S42)。また、交信制御サーバ
32は、このIPアドレスも利用者パソコン識別子とし
て記憶する。次に、交信制御サーバ32は、利用者パソ
コン21との交信に用いる共通鍵を生成する(S4
3)。この共通鍵は、交信制御サーバ32が交信開始要
求を受ける毎に新しく生成する。そして、交信制御サー
バ32は生成した共通鍵と、利用者パソコン識別子であ
る利用者パソコンMACアドレス及びIPアドレスとを
対応付けして記憶する(S44)。生成した共通鍵は、
認証サーバ35が有している利用者の公開鍵で暗号化し
た上、利用者パソコン21へ送付する(S45)。以
後、交信制御サーバ32と利用者パソコン21との交信
は、この共通鍵を用いて行なわれる(S46)。この際
に、交信に用いられるパケットの代表的な通信フレーム
形態を図5に示す。この通信フレームにおいて、共通鍵
で暗号化される部分は、図に示されているように、ペイ
ロード(データ)部分であり、MACヘッダー、IPヘ
ッダー及びTCPヘッダーは暗号化されない。利用者パ
ソコン識別子としてのMACアドレスはMACヘッダー
に、また、IPアドレスはIPヘッダーにそれぞれ含ま
れる。
明する。図6及び図7は、本システムの動作を示したフ
ローチャートである。図6において、最初に初期ルーチ
ン(S21)が行なわれる。このルーチンの詳細は、図
7に記載されている。まず、利用者パソコン21が無線
LANカード22及び無線LANアクセスポイント31
を介して交信制御サーバ32に交信開始要求をする。こ
こで交信開始要求とは、利用者パソコン21が所定の目
的を達成するためにゲートコンピュータ30と行なう双
方向の一連の通信の開始を要求することを言う。する
と、交信制御サーバ32はこれを受けてDHCPサーバ
33へ中継する(S41)。この際、交信制御サーバ3
2は、利用者パソコンの送信元MACアドレスを検出し
て利用者パソコン識別子として記憶する。DHCPサー
バ33は、前述したように、予め本システムに割り当て
られたIPアドレスの中から利用者パソコン識別用のI
Pアドレスを、利用者パソコン識別子として利用者パソ
コン21に付与する(S42)。また、交信制御サーバ
32は、このIPアドレスも利用者パソコン識別子とし
て記憶する。次に、交信制御サーバ32は、利用者パソ
コン21との交信に用いる共通鍵を生成する(S4
3)。この共通鍵は、交信制御サーバ32が交信開始要
求を受ける毎に新しく生成する。そして、交信制御サー
バ32は生成した共通鍵と、利用者パソコン識別子であ
る利用者パソコンMACアドレス及びIPアドレスとを
対応付けして記憶する(S44)。生成した共通鍵は、
認証サーバ35が有している利用者の公開鍵で暗号化し
た上、利用者パソコン21へ送付する(S45)。以
後、交信制御サーバ32と利用者パソコン21との交信
は、この共通鍵を用いて行なわれる(S46)。この際
に、交信に用いられるパケットの代表的な通信フレーム
形態を図5に示す。この通信フレームにおいて、共通鍵
で暗号化される部分は、図に示されているように、ペイ
ロード(データ)部分であり、MACヘッダー、IPヘ
ッダー及びTCPヘッダーは暗号化されない。利用者パ
ソコン識別子としてのMACアドレスはMACヘッダー
に、また、IPアドレスはIPヘッダーにそれぞれ含ま
れる。
【0033】図6において、初期ルーチンが終了する
と、交信制御サーバ32は、この交信制御サーバ32と
利用者パソコン21との間の交信が、許容交信か否かを
検証する(S22)。ここで、許容交信とは、交信制御
サーバ32が共通化鍵と対応付けた利用者パソコン識別
子である利用者パソコンMACアドレス及びIPアドレ
スと、共通化鍵とが用いられたパケットによる交信を言
う。交信制御サーバ32、利用者パソコン21間の交信
が許容交信でない場合は(S23)、当該パケットを破
棄して交信を強制終了する(S33)。許容交信の場合
は(S23)、その交信の内容が、利用者パソコン21
からの利用者IDとパスワードとを伴った認証要求であ
れば(S24)、交信制御サーバ32は管理サーバ34
に対してこの認証要求を中継する(S25)。管理サー
バ34は、利用者パソコン21から送られてきた利用者
IDとパスワードが、認証サーバ35に登録されている
か否かをチェックして認証を行なう(S26)。そし
て、これらの利用者IDとパスワードが登録されたもの
でなければ、利用者が有資格者ではないので管理サーバ
34は、認証OKと判定せず(S27)、交信制御サー
バ32は交信を強制終了する(S33)。これらの利用
者IDとパスワードが登録されたものであれば、管理サ
ーバ34は認証OKと判定するので(S27)、交信制
御サーバ32は利用者パソコン21に対して基幹ネット
ワーク41へのアクセスを許可する(S28)。この許
可の後も、交信制御サーバ32は利用者パソコン21と
の交信内容が許容交信か否かの検証を行ない(S2
9)、許容交信でなければ(S30)当該パケットを破
棄して交信を強制終了し(S33)、許容交信の場合は
(S30)交信を続け、交信終了を検知すると(S3
1、S32)一連の処理を終了する。
と、交信制御サーバ32は、この交信制御サーバ32と
利用者パソコン21との間の交信が、許容交信か否かを
検証する(S22)。ここで、許容交信とは、交信制御
サーバ32が共通化鍵と対応付けた利用者パソコン識別
子である利用者パソコンMACアドレス及びIPアドレ
スと、共通化鍵とが用いられたパケットによる交信を言
う。交信制御サーバ32、利用者パソコン21間の交信
が許容交信でない場合は(S23)、当該パケットを破
棄して交信を強制終了する(S33)。許容交信の場合
は(S23)、その交信の内容が、利用者パソコン21
からの利用者IDとパスワードとを伴った認証要求であ
れば(S24)、交信制御サーバ32は管理サーバ34
に対してこの認証要求を中継する(S25)。管理サー
バ34は、利用者パソコン21から送られてきた利用者
IDとパスワードが、認証サーバ35に登録されている
か否かをチェックして認証を行なう(S26)。そし
て、これらの利用者IDとパスワードが登録されたもの
でなければ、利用者が有資格者ではないので管理サーバ
34は、認証OKと判定せず(S27)、交信制御サー
バ32は交信を強制終了する(S33)。これらの利用
者IDとパスワードが登録されたものであれば、管理サ
ーバ34は認証OKと判定するので(S27)、交信制
御サーバ32は利用者パソコン21に対して基幹ネット
ワーク41へのアクセスを許可する(S28)。この許
可の後も、交信制御サーバ32は利用者パソコン21と
の交信内容が許容交信か否かの検証を行ない(S2
9)、許容交信でなければ(S30)当該パケットを破
棄して交信を強制終了し(S33)、許容交信の場合は
(S30)交信を続け、交信終了を検知すると(S3
1、S32)一連の処理を終了する。
【0034】上記の本システムでは、利用者の秘密鍵に
対応した公開鍵は認証サーバ35に予め記憶されている
が、このようにしないで、利用者パソコン21が交信開
始要求をする毎に、利用者パソコン21から公開鍵を送
付するようにしても良い。また、利用者パソコン識別子
として、利用者パソコンMACアドレスとIPアドレス
とを用いているが、いずれか一方でも良い。
対応した公開鍵は認証サーバ35に予め記憶されている
が、このようにしないで、利用者パソコン21が交信開
始要求をする毎に、利用者パソコン21から公開鍵を送
付するようにしても良い。また、利用者パソコン識別子
として、利用者パソコンMACアドレスとIPアドレス
とを用いているが、いずれか一方でも良い。
【0035】上記の本システムでは、交信制御サーバ3
2と利用者パソコン21とが交信を開始する毎に、DH
CPサーバ33が、利用者パソコン識別用のIPアドレ
スを、利用者パソコン識別子として利用者パソコン21
に付与するので、少ないIPアドレスを有効に活用でき
る。また、交信制御サーバ32が利用者パソコン21と
交信を開始する毎に、毎回異なる共通鍵を生成して交信
に用いるので、前述のWEPのような利用者が同じ共通
鍵を用いることによる、情報の盗聴を防止することがで
きる。また、交信制御サーバ32から利用者パソコン2
1への共通鍵の送信に、公開鍵暗号化方式を採用してい
るので、共通鍵の盗聴も防止することができる。また、
交信制御サーバ32と利用者パソコン21との交信の
際、この交信の内容を共通鍵で暗号化するので、交信の
内容の露見を防止することができる。また、交信全てに
ついて、共通鍵とこの共通鍵に対応付けられた利用者パ
ソコン識別子との組み合わせが用いられているか否かを
チェックするので、交信に偽造された利用者パソコン識
別子が使用されていれば、それを検知することができ、
利用者本人が他人に成りすましたり、他人が利用者本人
に成りすましたりして行なわれるネットワークシステム
の不正利用を、防止することができる。また、利用者I
Dとパスワードにより、利用者の認証を行なうので、利
用資格を有しない利用者を排除できる。また、利用者本
人が他人に成りすましたり、他人が利用者本人に成りす
ましたりすることができないことから、認証さえされれ
ば、その交信は認証された利用者の行なう交信であるこ
とが保証されるので、上記の不正利用防止のために、利
用者全員の利用者パソコン識別子を、予めネットワーク
システムに登録しておく等の必要がなく、この登録やそ
の管理等に要する手間を省くことができる。
2と利用者パソコン21とが交信を開始する毎に、DH
CPサーバ33が、利用者パソコン識別用のIPアドレ
スを、利用者パソコン識別子として利用者パソコン21
に付与するので、少ないIPアドレスを有効に活用でき
る。また、交信制御サーバ32が利用者パソコン21と
交信を開始する毎に、毎回異なる共通鍵を生成して交信
に用いるので、前述のWEPのような利用者が同じ共通
鍵を用いることによる、情報の盗聴を防止することがで
きる。また、交信制御サーバ32から利用者パソコン2
1への共通鍵の送信に、公開鍵暗号化方式を採用してい
るので、共通鍵の盗聴も防止することができる。また、
交信制御サーバ32と利用者パソコン21との交信の
際、この交信の内容を共通鍵で暗号化するので、交信の
内容の露見を防止することができる。また、交信全てに
ついて、共通鍵とこの共通鍵に対応付けられた利用者パ
ソコン識別子との組み合わせが用いられているか否かを
チェックするので、交信に偽造された利用者パソコン識
別子が使用されていれば、それを検知することができ、
利用者本人が他人に成りすましたり、他人が利用者本人
に成りすましたりして行なわれるネットワークシステム
の不正利用を、防止することができる。また、利用者I
Dとパスワードにより、利用者の認証を行なうので、利
用資格を有しない利用者を排除できる。また、利用者本
人が他人に成りすましたり、他人が利用者本人に成りす
ましたりすることができないことから、認証さえされれ
ば、その交信は認証された利用者の行なう交信であるこ
とが保証されるので、上記の不正利用防止のために、利
用者全員の利用者パソコン識別子を、予めネットワーク
システムに登録しておく等の必要がなく、この登録やそ
の管理等に要する手間を省くことができる。
【0036】上記の本システムにおいて、認証サーバ3
5に、本システムの利用資格者に関する情報として、そ
の利用者IDとパスワードや利用者の秘密鍵に対応した
公開鍵等のほか、その利用者が基幹ネットワーク41に
アクセスする際にアクセスを許容する内容を登録してお
くことにより、この内容に照らして利用者毎のアクセス
制御を行なうこともできる。
5に、本システムの利用資格者に関する情報として、そ
の利用者IDとパスワードや利用者の秘密鍵に対応した
公開鍵等のほか、その利用者が基幹ネットワーク41に
アクセスする際にアクセスを許容する内容を登録してお
くことにより、この内容に照らして利用者毎のアクセス
制御を行なうこともできる。
【0037】また、上記の本システムでは、ゲートコン
ピュータ30はそれ自身がネットワークであり、複数の
コンピュータで構成されているが、ゲートコンピュータ
30が全体として1台のコンピュータで構成されていて
もよい。
ピュータ30はそれ自身がネットワークであり、複数の
コンピュータで構成されているが、ゲートコンピュータ
30が全体として1台のコンピュータで構成されていて
もよい。
【0038】また、上記の本システムは、無線区間の通
信は、完全にブラックボックスとして扱うことが可能で
あり、従って、本システムが無線区間の通信を実現する
ための無線LANのハードウェア、ソフトウェアを拘束
することはなく、これらのハードウェア、ソフトウェア
は、いかなるものでも採用可能である。
信は、完全にブラックボックスとして扱うことが可能で
あり、従って、本システムが無線区間の通信を実現する
ための無線LANのハードウェア、ソフトウェアを拘束
することはなく、これらのハードウェア、ソフトウェア
は、いかなるものでも採用可能である。
【0039】また、上記の本システムでは、利用者パソコ
ン21とゲートコンピュータ30とは、無線LANを用
いて接続する方式としており、この無線LANを用いた
接続方式で、特に本システムの特長を発揮することがで
きるが、有線により接続する方式とすることも可能であ
る。
ン21とゲートコンピュータ30とは、無線LANを用
いて接続する方式としており、この無線LANを用いた
接続方式で、特に本システムの特長を発揮することがで
きるが、有線により接続する方式とすることも可能であ
る。
【0040】
【発明の効果】請求項1または2記載の無線LANに適
したネットワークアクセス制御方法、あるいは、請求項
5または6記載の無線LANに適したネットワークアク
セス制御システムによれば、ゲートコンピュータ3が利
用者コンピュータ4と交信を開始する毎に、毎回異なる
共通鍵を生成して交信に用いるので、前述のWEPのよ
うな利用者が同じ共通鍵を用いることによる、情報の盗
聴を防止することができる。また、ゲートコンピュータ
から利用者コンピュータへの共通鍵の送信に、公開鍵暗
号化方式を採用しているので、共通鍵の盗聴も防止する
ことができる。また、ゲートコンピュータと利用者コン
ピュータとの交信の際、この交信の内容を共通鍵で暗号
化するので、交信の内容の露見を防止することができ
る。また、交信全てについて、共通鍵とこの共通鍵に対
応付けられた利用者コンピュータ識別子との組み合わせ
が用いられているか否かをチェックするので、交信に偽
造された利用者コンピュータ識別子が使用されていれ
ば、それを検知することができ、利用者本人が他人に成
りすましたり、他人が利用者本人に成りすましたりして
行なわれる、ネットワークシステムの不正利用を防止す
ることができる。また、利用者IDとパスワードによ
り、利用者の認証を行なうので、利用資格を有しない利
用者を排除できる。また、利用者本人が他人に成りすま
したり、他人が利用者本人に成りすましたりすることが
できないことから、認証さえされれば、その交信は有資
格者の行なう交信であることが保証されるので、上記の
不正利用防止のために、利用者全員の利用者コンピュー
タ識別子を、予めネットワークシステムに登録しておく
等の必要がなく、この登録やその管理等に要する手間を
省くことができる。
したネットワークアクセス制御方法、あるいは、請求項
5または6記載の無線LANに適したネットワークアク
セス制御システムによれば、ゲートコンピュータ3が利
用者コンピュータ4と交信を開始する毎に、毎回異なる
共通鍵を生成して交信に用いるので、前述のWEPのよ
うな利用者が同じ共通鍵を用いることによる、情報の盗
聴を防止することができる。また、ゲートコンピュータ
から利用者コンピュータへの共通鍵の送信に、公開鍵暗
号化方式を採用しているので、共通鍵の盗聴も防止する
ことができる。また、ゲートコンピュータと利用者コン
ピュータとの交信の際、この交信の内容を共通鍵で暗号
化するので、交信の内容の露見を防止することができ
る。また、交信全てについて、共通鍵とこの共通鍵に対
応付けられた利用者コンピュータ識別子との組み合わせ
が用いられているか否かをチェックするので、交信に偽
造された利用者コンピュータ識別子が使用されていれ
ば、それを検知することができ、利用者本人が他人に成
りすましたり、他人が利用者本人に成りすましたりして
行なわれる、ネットワークシステムの不正利用を防止す
ることができる。また、利用者IDとパスワードによ
り、利用者の認証を行なうので、利用資格を有しない利
用者を排除できる。また、利用者本人が他人に成りすま
したり、他人が利用者本人に成りすましたりすることが
できないことから、認証さえされれば、その交信は有資
格者の行なう交信であることが保証されるので、上記の
不正利用防止のために、利用者全員の利用者コンピュー
タ識別子を、予めネットワークシステムに登録しておく
等の必要がなく、この登録やその管理等に要する手間を
省くことができる。
【0041】請求項3記載の無線LANに適したネット
ワークアクセス制御方法、あるいは、請求項7記載の無
線LANに適したネットワークアクセス制御システムに
よれば、少ないIPアドレスを有効に活用できる。
ワークアクセス制御方法、あるいは、請求項7記載の無
線LANに適したネットワークアクセス制御システムに
よれば、少ないIPアドレスを有効に活用できる。
【0042】請求項4記載の無線LANに適したネット
ワークアクセス制御方法、あるいは、請求項8記載の無
線LANに適したネットワークアクセス制御システム
は、利用者コンピュータとゲートコンピュータとの接続
を無線に代えて有線で行なうだけであり、請求項1から
3に記載の発明、あるいは、請求項5から7に記載の発
明と同じ効果を有する。
ワークアクセス制御方法、あるいは、請求項8記載の無
線LANに適したネットワークアクセス制御システム
は、利用者コンピュータとゲートコンピュータとの接続
を無線に代えて有線で行なうだけであり、請求項1から
3に記載の発明、あるいは、請求項5から7に記載の発
明と同じ効果を有する。
【0043】請求項9から12に記載の無線LANに適
したネットワークアクセス制御プログラムによれば、請
求項5から8に記載の無線LANに適したネットワーク
アクセス制御システムが有する機能を、ゲートコンピュ
ータで実現することができる。
したネットワークアクセス制御プログラムによれば、請
求項5から8に記載の無線LANに適したネットワーク
アクセス制御システムが有する機能を、ゲートコンピュ
ータで実現することができる。
【図1】本発明の無線LANに適したネットワークアク
セス制御方法で用いられるネットワークの構成図
セス制御方法で用いられるネットワークの構成図
【図2】本発明の無線LANに適したネットワークアク
セス制御方法のフローチャート
セス制御方法のフローチャート
【図3】本発明の無線LANに適したネットワークアク
セス制御システムの構成図
セス制御システムの構成図
【図4】本実施例の無線LANに適したネットワークア
クセス制御システムの構成図
クセス制御システムの構成図
【図5】本実施例で用いられるパケットの代表的な通信
フレーム形態
フレーム形態
【図6】本実施例のシステムのフローチャート(1)
【図7】本実施例のシステムのフローチャート(2)
1 基幹ネットワーク
2 ローカルネットワーク
3 ゲートコンピュータ
4 利用者コンピュータ
11 共通鍵生成手段
12 共通鍵対応付手段
13 共通鍵送付手段
14 暗号化交信手段
15 交信監視手段
16 認証手段
17 基幹ネットワーク接続手段
21 利用者パソコン
22 無線LANカード
30 ゲートコンピュータ
31 無線LANアクセスポイント
32 交信制御サーバ
33 DHCPサーバ
34 管理サーバ認証サーバ
35 認証サーバ
41 基幹ネットワーク
─────────────────────────────────────────────────────
フロントページの続き
(51)Int.Cl.7 識別記号 FI テーマコート゛(参考)
H04L 9/00 673A
(71)出願人 399068524
株式会社ステラクラフト
大阪府大阪市北区曽根崎新地一丁目4番20
号
(72)発明者 松浦 敏雄
大阪府吹田市佐竹台3丁目12番7号
(72)発明者 石橋 勇人
京都府京都市左京区松ヶ崎雲路町5番地
松ヶ崎パーク・ホームズ 203
(72)発明者 山井 成良
兵庫県芦屋市奥池町13番6号
(72)発明者 安倍 広多
大阪府堺市上野芝町3−7−21−403
(72)発明者 森下 英夫
大阪府豊中市宮山町1−4−51
(72)発明者 森 俊明
大阪府茨木市白川3−2−5−213
Fターム(参考) 5J104 AA04 AA07 AA16 EA06 EA19
EA26 KA01 KA07 MA02 NA02
PA07
5K033 AA08 BA04 CB01 CB08 CC01
DA01 DA06 DA17 DB10 DB12
DB18 EA07 EC03
Claims (12)
- 【請求項1】 基幹ネットワークへの利用者コンピュー
タのアクセスを中継制御するゲートコンピュータに、利
用者IDおよびパスワードが予め登録されている利用者
が使用する前記利用者コンピュータと、前記ゲートコン
ピュータとが無線接続されて構成されるローカルネット
ワークにおいて、 前記ゲートコンピュータは、 前記利用者コンピュータとの交信を開始する毎に、新た
な共通鍵を生成するとともに、この共通鍵と、前記利用
者コンピュータの具備する利用者コンピュータ識別子と
の対応付けを行ない、 前記利用者の秘密鍵に対応する公開鍵を用いて暗号化し
た前記共通鍵を、前記利用者コンピュータへ送付し、 この送付以後、前記利用者コンピュータにより前記共通
鍵を用いて暗号化された前記利用者コンピュータからの
送信を受信するとともに、前記利用者コンピュータへの
送信を前記共通鍵を用いて暗号化することにより、前記
利用者コンピュータとの暗号化された交信を行ない、 この暗号化された交信を監視して、前記共通鍵と対応付
けられた前記利用者コンピュータ識別子が用いられてい
る交信である許容交信のみ許容し、 前記許容交信を用いて、前記利用者コンピュータから送
付された利用者IDおよびパスワードを受け取ると共
に、この利用者IDおよびパスワードが前記ゲートコン
ピュータに登録されているものであることを確認する
と、前記利用者コンピュータに対して、前記許容交信を
介してなされる前記基幹ネットワークへのアクセスを許
可することを特徴とする無線LANに適したネットワー
クアクセス制御方法。 - 【請求項2】 前記基幹ネットワークがIPアドレスを
用いたネットワークであると共に、前記ローカルネット
ワークがIPアドレスおよびMACアドレスを用いたネ
ットワークであり、 前記利用者コンピュータ識別子として、前記利用者コン
ピュータの具備するMACアドレス、または、IPアド
レスもしくはその双方を用いることを特徴とする請求項
1記載の無線LANに適したネットワークアクセス制御
方法。 - 【請求項3】 前記利用者コンピュータ識別子として、
MACアドレス、および、IPアドレスを用いると共
に、 前記ゲートコンピュータが、前記利用者コンピュータと
の交信を開始する毎に、前記利用者コンピュータに対し
て、前記共通鍵の送付に先立って、前記利用者コンピュ
ータ識別子用のIPアドレスを付与することを特徴とす
る請求項2記載の無線LANに適したネットワークアク
セス制御方法。 - 【請求項4】 前記無線接続に代えて、有線接続が用い
られることを特徴とする請求項1から3のいずれか1項
に記載の無線LANに適したネットワークアクセス制御
方法。 - 【請求項5】 基幹ネットワークへの利用者コンピュー
タのアクセスを中継制御するゲートコンピュータに、利
用者IDおよびパスワードが予め登録されている利用者
が使用する前記利用者コンピュータと、前記ゲートコン
ピュータとが無線接続されて構成されるローカルネット
ワークにおいて、 前記ゲートコンピュータに、 前記利用者コンピュータとの交信を開始する毎に、新た
な共通鍵を生成する共通鍵生成手段と、 この共通鍵と前記利用者コンピュータの具備する利用者
コンピュータ識別子との対応付けを行なう共通鍵対応付
手段と、 前記利用者の秘密鍵に対応する公開鍵を用いて暗号化し
た前記共通鍵を、前記利用者コンピュータへ送付する共
通鍵送付手段と、 この送付以後、前記利用者コンピュータにより前記共通
鍵を用いて暗号化された前記利用者コンピュータからの
送信を受信するとともに、前記利用者コンピュータへの
送信を前記共通鍵を用いて暗号化することにより、前記
利用者コンピュータとの暗号化された交信を行なう暗号
化交信手段と、 この暗号化された交信を監視して、前記共通鍵と対応付
けられた前記利用者コンピュータ識別子が用いられてい
る交信である許容交信のみ許容する交信監視手段と、 前記許容交信を用いて、前記利用者コンピュータから送
付された利用者IDおよびパスワードを受け取ると共
に、この利用者IDおよびパスワードが前記ゲートコン
ピュータに登録されているものであることの確認をする
認証手段と、 前記確認が行なわれると、前記利用者コンピュータに対
して、前記許容交信を介してなされる前記基幹ネットワ
ークへのアクセスを許可する基幹ネットワーク接続手段
と、 を設けたことを特徴とする無線LANに適したネットワ
ークアクセス制御システム。 - 【請求項6】 前記基幹ネットワークがIPアドレスを
用いたネットワークであると共に、前記ローカルネット
ワークがIPアドレスおよびMACアドレスを用いたネ
ットワークであり、 前記利用者コンピュータ識別子として、前記利用者コン
ピュータの具備するMACアドレス、または、IPアド
レスもしくはその双方を用いることを特徴とする請求項
5記載の無線LANに適したネットワークアクセス制御
システム。 - 【請求項7】 前記利用者コンピュータ識別子として、
MACアドレス、および、IPアドレスを用いると共
に、 前記利用者コンピュータとの交信を開始する毎に、前記
共通鍵を生成するのに先立って、前記利用者コンピュー
タに対して、前記利用者コンピュータ識別子用のIPア
ドレスを付与する端末識別IPアドレス付与手段を、前
記ゲートコンピュータに設けたことを特徴とする請求項
6記載の無線LANに適したネットワークアクセス制御
システム。 - 【請求項8】 前記無線接続に代えて、有線接続が用い
られることを特徴とする請求項5から7のいずれか1項
に記載の無線LANに適したネットワークアクセス制御
システム。 - 【請求項9】 基幹ネットワークへの利用者コンピュー
タのアクセスを中継制御するゲートコンピュータに、利
用者IDおよびパスワードが予め登録されている利用者
が使用する前記利用者コンピュータと、前記ゲートコン
ピュータとが無線接続されて構成されるローカルネット
ワークにおいて、 前記ゲートコンピュータを、 前記利用者コンピュータとの交信を開始する毎に、新た
な共通鍵を生成する共通鍵生成手段、 この共通鍵と前記利用者コンピュータの具備する利用者
コンピュータ識別子との対応付けを行なう共通鍵対応付
手段、 前記利用者の秘密鍵に対応する公開鍵を用いて暗号化し
た前記共通鍵を、前記利用者コンピュータへ送付する共
通鍵送付手段、 この送付以後、前記利用者コンピュータにより前記共通
鍵を用いて暗号化された前記利用者コンピュータからの
送信を受信するとともに、前記利用者コンピュータへの
送信を前記共通鍵を用いて暗号化することにより、前記
利用者コンピュータとの暗号化された交信を行なう暗号
化交信手段、 この暗号化された交信を監視して、前記共通鍵と対応付
けられた前記利用者コンピュータ識別子が用いられてい
る交信である許容交信のみ許容する交信監視手段、 前記許容交信を用いて、前記利用者コンピュータから送
付された利用者IDおよびパスワードを受け取ると共
に、この利用者IDおよびパスワードが前記ゲートコン
ピュータに登録されているものであることの確認をする
認証手段、 前記確認が行なわれると、前記利用者コンピュータに対
して、前記許容交信を介してなされる前記基幹ネットワ
ークへのアクセスを許可する基幹ネットワーク接続手
段、 として機能させるための無線LANに適したネットワー
クアクセス制御プログラム。 - 【請求項10】 前記基幹ネットワークがIPアドレス
を用いたネットワークであると共に、前記ローカルネッ
トワークがIPアドレスおよびMACアドレスを用いた
ネットワークであり、 前記利用者コンピュータ識別子として、前記利用者コン
ピュータの具備するMACアドレス、または、IPアド
レスもしくはその双方を用いてなる請求項9記載の無線
LANに適したネットワークアクセス制御プログラム。 - 【請求項11】 前記利用者コンピュータ識別子とし
て、MACアドレス、および、IPアドレスを用いると
共に、 前記利用者コンピュータとの交信を開始する毎に、前記
共通鍵の生成に先立って、前記利用者コンピュータに対
して、前記利用者コンピュータ識別子用のIPアドレス
を付与する端末識別IPアドレス付与手段として、前記
ゲートコンピュータを機能させることを加えた請求項1
0記載の無線LANに適したネットワークアクセス制御
プログラム。 - 【請求項12】 前記無線接続に代えて、有線接続が用
いられることを特徴とする請求項9から11のいずれか
1項に記載の無線LANに適したネットワークアクセス
制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001205313A JP2003023432A (ja) | 2001-07-05 | 2001-07-05 | 無線lanに適したネットワークアクセス制御方法、そのシステム及びそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001205313A JP2003023432A (ja) | 2001-07-05 | 2001-07-05 | 無線lanに適したネットワークアクセス制御方法、そのシステム及びそのプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003023432A true JP2003023432A (ja) | 2003-01-24 |
Family
ID=19041650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001205313A Pending JP2003023432A (ja) | 2001-07-05 | 2001-07-05 | 無線lanに適したネットワークアクセス制御方法、そのシステム及びそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003023432A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004114602A1 (ja) * | 2003-06-21 | 2004-12-29 | Katsuyasu Ono | ネットワーク上での個人情報特定方法 |
-
2001
- 2001-07-05 JP JP2001205313A patent/JP2003023432A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004114602A1 (ja) * | 2003-06-21 | 2004-12-29 | Katsuyasu Ono | ネットワーク上での個人情報特定方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7680878B2 (en) | Apparatus, method and computer software products for controlling a home terminal | |
| CN103503408B (zh) | 用于提供访问凭证的系统和方法 | |
| JP4666169B2 (ja) | 信頼されないアクセス局を介した通信方法 | |
| JP4981782B2 (ja) | インターネットのための対称鍵配信フレームワーク | |
| JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
| US6643774B1 (en) | Authentication method to enable servers using public key authentication to obtain user-delegated tickets | |
| CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| US20040249922A1 (en) | Home automation system security | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
| CN102868665A (zh) | 数据传输的方法及装置 | |
| CN106169952B (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| JP2006180561A (ja) | セキュア鍵及びログオフを用いるwlanセッション管理技術 | |
| CN107493294A (zh) | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 | |
| US20090271852A1 (en) | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| JPH11331181A (ja) | ネットワーク端末認証装置 | |
| JP4775154B2 (ja) | 通信システム、端末装置、プログラム、及び、通信方法 | |
| US20230017776A1 (en) | Accessing corporate resources through an enrolled user device | |
| JP6056970B2 (ja) | 情報処理装置、端末機、情報処理システム及び情報処理方法 | |
| CN114254352A (zh) | 一种数据安全传输系统、方法和装置 | |
| JP2003023432A (ja) | 無線lanに適したネットワークアクセス制御方法、そのシステム及びそのプログラム | |
| US20230018433A1 (en) | Accessing corporate resources through an enrolled user device | |
| KR100555745B1 (ko) | 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법 | |
| CN112398805A (zh) | 在客户机和服务机之间建立通信通道的方法 |