JP2003338823A - 無線通信システム及びその制御方法 - Google Patents

無線通信システム及びその制御方法

Info

Publication number
JP2003338823A
JP2003338823A JP2002146219A JP2002146219A JP2003338823A JP 2003338823 A JP2003338823 A JP 2003338823A JP 2002146219 A JP2002146219 A JP 2002146219A JP 2002146219 A JP2002146219 A JP 2002146219A JP 2003338823 A JP2003338823 A JP 2003338823A
Authority
JP
Japan
Prior art keywords
user
authentication server
authentication
wireless terminal
wireless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2002146219A
Other languages
English (en)
Inventor
Kazuo Moritomo
和夫 森友
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2002146219A priority Critical patent/JP2003338823A/ja
Publication of JP2003338823A publication Critical patent/JP2003338823A/ja
Withdrawn legal-status Critical Current

Links

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

(57)【要約】 【課題】認証サーバを利用した無線暗号通信において、
共通キーの解読につながる手がかりを第三者に渡さな
い。 【解決手段】ステーションとアクセスポイントとが接続
後、ステーションはユーザ名とパスワードとから生成し
たハッシュ値をサーバに送信すると共に、保有するWE
Pキーを用いてWEPアルゴリズムを起動する。その
後、ユーザ名とパスワードとをWEPキーにより暗号化
し、再度サーバに送信する。サーバは、最初に受信した
ハッシュ値からWEPキーを特定し、次に受信した暗号
化されたデータをそのWEPキーで解読を試みる。解読
が成功すれば、そのユーザのログインを許可する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、無線構内ネットワ
ーク(無線LAN)システムにおいて、IEEE80
2.11に準拠した無線LANシステムの認証方法と認
証装置を介したデータ通信に関する。
【0002】
【従来の技術】従来の無線構内ネットワーク(LAN)
システムには、ピアツーピア接続された無線端末のみで
構成されるインデペンデント方式のものや、ひとつのア
クセスポイント(AP)と無線端末とで基本サービスセ
ットを構成し、アクセスポイント同士あるいはサーバコ
ンピュータ等を有線網で接続して構成されるインフラス
トラクチャ方式のものがある。後者の方式によるシステ
ムにおいては、クライアント端末(ステーション:ST
A)は、有線LANに対してはアクセスポイント経由で
通信を行う。無線通信では通信内容を傍受可能であるた
めに、不正なアクセスを制御するために暗号化通信を行
う必要がある。
【0003】このような無線通信の規格のひとつとして
IEEE802.11規格がある。IEEE802.1
1規格では、ワイヤレスLAN環境で不正なアクセス制
御を防ぐための暗号化機能として、WEP方式というオ
プション機能が用意されている。WEP方式とは、MA
C層でデータを暗号化し、メディア認証コード用データ
を付けて、エラーや改ざんの有無をチェックするという
方式である。
【0004】WEP方式で暗号通信を行うためには、無
線LANには、無線ステーション、アクセスポイント、
認証サーバが備えられる。無線ステーションは端末局で
あり、例えば無線信号の送受信機能を有するワイヤレス
LANアダプタと接続されたノートPC等のデータ端末
である。アクセスポイントは、有線網に接続され、無線
アクセスと有線網とのインタフェース機能や無線信号の
送受信機能を有し、さらに無線信号制御等のファームウ
ェアやMAC(媒体アクセス制御)アドレス認証機能も
搭載されている。認証サーバは、RADIUS(Rem
ote Access Dial−In User S
ervice:遠隔アクセス直接ダイヤルユーザサービ
ス)サーバと呼ばれる、認証機能を有するサーバであ
り、アクセスを許す無線ステーションのユーザ名、パス
ワード、ユーザ固有のWEP(Wired Equiv
alent Privacy)キーが事前に登録されて
いる。なお、WEPキーとはWEP方式において暗号化
に使用される鍵である。
【0005】次にWEP方式による通信のシーケンスを
図3にて説明する。
【0006】無線ステーションとアクセスポイントはま
ずIEEE802.11規格で規定された認証の一つで
あるオープン認証処理を行い(S301)、アソシエー
ション(Association)状態となる。この時
点でアクセスポイントは、無線ステーションに対して、
ポーリング、データ送信処理が可能となるが、無線ステ
ーションによるネットワークリソースへのアクセスは、
ネットワークにログオンするまでは、アクセスポイント
で全てブロックされる。
【0007】無線ステーションのユーザは、ネットワー
クログオン用のダイアログボックスまたはそれに相当す
る画面にユーザ名、パスワードを入力する(S30
2)。無線ステーションは、入力されたユーザ名とパス
ワードを基に一方向ハッシュ(One−way Has
h)関数によってハッシュ値を算出し、アクセスポイン
ト経由でRADIUSサーバに送信する(S303、S
304)。また無線ステーションは、ユーザ固有のWE
Pキーに基づいたWEPアルゴリズムを起動する(S3
05)。
【0008】RADIUSサーバは受け取ったユーザ名
とパスワードを基にしたハッシュ値をデータベース内の
有効なユーザ名及びパスワードと照合し(S306)、
その無線ステーションを認証してよいかどうかを判断す
る(認証処理)。
【0009】認証処理が成功すると、RADIUSサー
バはユーザ固有のWEPキーに基づいたWEPアルゴリ
ズムを起動する(S307)。このWEPキーはユーザ
固有のキーであって、あらかじめRADIUSサーバ
(206)のデータベースに登録され、また無線ステー
ションが所持しているものである。
【0010】RADIUSサーバはこのWEPキーを有
線網経由でアクセスポイントに送信する(S308)。
アクセスポイントは受信したWEPキーを基にWEP手
順を起動し(S309)、さらにアクセスポイントのブ
ロードキャストキーをWEPアルゴリズムによって暗号
化し、無線ステーションに送信する(S310)。なお
ブロードキャストキーとは、アクセスポイントからサー
ビスエリアの無線ステーションに対して放送通信する際
に使用される暗号化キーである。
【0011】暗号化されたブロードキャストキーを受信
した無線ステーションは、それが有している固有のWE
Pキーを用いて暗号化されたブロードキャストキーを解
読する(S311)。このようにして、無線ステーショ
ンはRADIUSサーバによる認証を受け、有線網側と
共通の暗号化キーを獲得している。
【0012】無線ステーションとアクセスポイントは、
アソシエーション状態の間、WEPキー及びブロードキ
ャストキーを全通信の暗号化に使用して通信を行うこと
でセキュリティを確保していた。
【0013】
【発明が解決しようとする課題】上記従来例において
は、RADIUSサーバは受け取ったユーザ名とパスワ
ードの一方向ハッシュをデータベース内の有効なユーザ
名及びパスワードと照合し、合致を確認するとアクセス
ポイントにユーザ固有のWEPキーを送信してしまう。
【0014】ここで悪意のユーザが何らかの手段を用い
て、正規ユーザのユーザ名とパスワードの一方向ハッシ
ュを盗み出した場合を想定する。悪意のユーザは、その
ユーザ自身の有する無線ステーションから盗み出した一
方向ハッシュを用いてオープン認証を行った場合でも、
従来例のシーケンスに従ってRADIUSサーバにて認
証される。そしてRADIUSサーバよりユーザ固有の
WEPキーを通知されたアクセスポイントは、通知され
たWEPキーによってWEPを起動し、暗号化したデー
タを無線ステーションに送信する。
【0015】従って悪意のユーザは、アクセスポイント
からの、盗用したユーザのWEPキーによって暗号化さ
れたブロードキャストキーのデータを受信することがで
きる。そのため、悪意のユーザは、時間をかけてユーザ
固有のWEPアルゴリズムの解析を行うことができるの
でWEPキーが解読されてしまうという危険性が生じて
しまう。
【0016】本発明は上記従来例に鑑みてなされたもの
で、正規のユーザ名やパスワードを利用して不正アクセ
スを試みるユーザに対して、通信に用いられる暗号化キ
ーを解読する手がかりとなる情報を一切与えず、不正ア
クセスに対する防御を強固なものとした無線通信システ
ム、認証サーバ、アクセスポイント及びそれらの制御方
法を提供することを目的とする。
【0017】
【課題を解決するための手段】上記目的を達成するため
に本発明は次のような構成を有する。
【0018】共通鍵を用いた暗号通信に対応した、無線
端末と認証サーバとを有する無線通信システムであっ
て、前記無線端末は、ユーザ固有の情報を含む認証要求
を前記認証サーバに送信し、その後、ユーザ固有の暗号
鍵を用いて暗号化した前記ユーザ固有の情報を前記認証
サーバに送信し、前記認証サーバは、前記無線端末から
受信したユーザ固有の情報に基づいて暗号鍵を特定し、
該暗号鍵により前記暗号化した前記ユーザ固有の情報の
復号を試み、該試みが成功した場合に前記認証要求を許
可する。
【0019】あるいは、共通鍵を用いた暗号通信に対応
した無線通信により無線端末と接続される認証サーバで
あって、前記無線端末から受信した認証要求に含まれる
ユーザ固有の情報に基づいて暗号鍵を特定し、該暗号鍵
により、前記無線端末から受信した、ユーザ固有の暗号
鍵を用いて暗号化した前記ユーザ固有の情報の復号を試
み、該試みが成功した場合に前記認証要求を許可する。
【0020】あるいは、共通鍵を用いた暗号通信に対応
した無線通信により認証サーバと接続される無線端末で
あって、ユーザ固有の情報を含む認証要求を前記認証サ
ーバに送信し、その後、ユーザ固有の暗号鍵を用いて暗
号化した前記ユーザ固有の情報を前記認証サーバに送信
する。
【0021】上記構成により、ユーザが、本来の固有の
暗号化鍵を用いて暗号化したユーザ固有の情報を認証サ
ーバに送信できなければ、認証サーバはそのユーザに対
して認証要求を許可せず、暗号鍵の手がかりをそのユー
ザに与えることを防止できる。
【0022】更に好ましくは、前記認証サーバは、前記
認証要求を受信してから一定の時間内に前記復号の試み
が成功しない場合には、前記認証要求を許可しない。
【0023】この構成により、認証サーバが、一定の時
間内に暗号化したユーザ固有の情報の復号に成功しない
場合には、認証サーバはそのユーザに対して認証要求を
許可せず、暗号鍵の手がかりをそのユーザに与えること
を防止できる。
【0024】更に好ましくは、前記認証サーバは、該認
証サーバと有線通信で接続された無線アクセスポイント
を介して前記無線端末と接続され、前記認証サーバは、
前記認証要求を受信してから一定の時間内に前記復号の
試みが成功しない場合には、前記アクセスポイントに対
して前記無線端末とのオープン認証解除処理の開始を指
示する。
【0025】この構成により、認証が許可されなかった
無線端末はアクセスポイントとの間の接続も解除され、
無線通信の安全性をより高めることができる。
【0026】更に好ましくは、前記オープン認証解除処
理の開始が指示された無線アクセスポイントは、当該認
証要求に含まれたユーザ固有の情報と同一のユーザ固有
の情報を含む認証要求を拒否する。
【0027】この構成により、いったん認証要求を不許
可としたユーザのアクセスの試みを、アクセスポイント
において拒否できるために、無線通信の安全性をより高
めることができる。
【0028】更に好ましくは、前記ユーザ固有の情報に
は、ユーザ名とユーザに固有のパスワードとを含む。
【0029】この構成により、ユーザ名及びパスワード
を不正ユーザに盗用された場合でも、そのアクセスを防
止できると共に、暗号鍵を解読する手がかりを与えるこ
とを防止できる。
【0030】
【発明の実施の形態】図2に本発明の実施形態である無
線LANシステムの構成例を示す。
【0031】ステーション(STA)201〜204
は、複数の端末局であり、各端末局は無線信号の送受信
機能を有するワイヤレスLANアダプタと接続されたノ
ートPC等のデータ端末である。
【0032】図6は無線端末であるステーション201
〜204あるいは後述するサーバ206として利用され
るコンピュータのブロック図である。
【0033】図6において、コンピュータ3000は、
ROM3あるいはハードディスク等の外部メモリ11か
らRAM2にロードされた、後述するシーケンスを実行
するためのプログラム等を実行するCPU1を備える。
CPU1は、システムバス4に接続される各デバイスを
統括的に制御する。RAM2は、CPU1の主メモリ、
ワークエリア等として機能する。キーボードコントロー
ラ(KBC)5は、キーボード9や不図示のポインティ
ングデバイスからのキー入力を制御する。CRTコント
ローラ(CRTC)6は、CRTディスプレイ10の表
示を制御する。ディスクコントローラ(DKC)7は、
無線端末としてのプログラムや認証サーバとして機能す
るためのプログラム、ブートプログラム、種々のアプリ
ケーション等を記憶するハードディスク(HD)や、フ
ロッピー(登録商標)ディスク(FD)等の外部メモリ
11とのアクセスを制御する。ネットワークコントロー
ラ(NC)8は、無線端末であれば無線通信機能を提供
し、サーバ206などのように、有線通信介してネット
ワークに接続される場合には有線通信機能を提供する。
【0034】アクセスポイント(AP)205は、有線
網207に接続され、無線アクセスと有線網とのインタ
フェース機能や無線信号の送受信機能を有し、さらに無
線信号制御等のファームウェアやMAC(媒体アクセス
制御)アドレス認証機能も搭載されている。
【0035】認証サーバ206は、RADIUS(Re
mote Access Dial−In User
Service:遠隔アクセス直接ダイヤルユーザサー
ビス)サーバと呼ばれる認証機能を有するサーバであ
り、アクセスを許す端末であるSTA201−204の
ユーザー名、パスワード、ユーザー固有のWEP(Wi
red Equivalent Privacy)キー
は事前に登録されているものとする。なお、WEPキー
とは、ISO8802.11のオプション機能であるW
EP方式において、暗号化に使用される鍵である。図5
にWEPキーを登録したテーブルの一例を示す。
【0036】図5において、登録テーブルには、各登録
ユーザ毎に、そのユーザ名とパスワード、およびそれら
を引数とする一方向ハッシュ関数のハッシュ値Onew
ay−Hash(User,Password)と、そ
れに対応するWEPキー(WEP種別)とが登録されて
いる。認証サーバ206は、無線端末からハッシュ値を
受信すると、図5の表から対応するWEPキーを検索す
る。
【0037】次に本発明における処理シーケンスを図1
を参照して説明する。
【0038】図2におけるある一つのSTA(201)
とAP(205)はまずIEEE802.11規格で規
定された認証の一つであるオープン認証処理(S10
1)を行い、アソシエーション(Associatio
n)状態となる。この時点でAP(205)はSTA
(201)に対して、ポーリング、データ送信処理が可
能となるがSTA(201)のネットワークリソースへ
のアクセスは、ネットワークにログオンするまでは、A
P(205)で全てブロックされる。
【0039】STA(201)は、ネットワークログオ
ン用のダイアログボックスまたはそれに相当する画面を
表示して、ユーザに、ユーザー名、パスワードを入力さ
せる(S102)。IEEE802.11規格において
はAP(205)はアソシエーション状態となったST
Aに対してPCF(Point Coordinati
on Function:集中調整機能)によりポーリ
ング処理を行う。STA(201)は1回目のポーリン
グ(S103)に応答して、入力されたユーザー名とパ
スワードを基に一方向ハッシュ関数によって算出された
ハッシュ値を、AP(205)、有線LAN(207)
経由でRADIUSサーバ(206)に送信する(S1
04、S105)。さらにSTA(201)はユーザが
固有に所持しているWEPキーを基にWEPアルゴリズ
ムを起動させる(S106)。WEPキーは、図6のネ
ットワークコントローラ8上に保持されており、ネット
ワークコントローラ8がICカードなど交換可能なもの
であれば、ユーザはそのユーザに固有のWEPキーをそ
のネットワークコントローラ8により所持することがで
きる。ただし、このようにユーザのWEPキーは、ネッ
トワークコントローラ8から読み出されてそれが装着さ
れた無線端末で使用される。
【0040】RADIUSサーバ(206)は受信した
ユーザー名とパスワードを基にしたハッシュ値を、図5
のテーブルに登録された有効なユーザー名及びパスワー
ドと照合する(S107)。図5のテーブルにおいて、
STA201から受信したハッシュ値が登録されている
場合には、RADIUSサーバ(206)は受信したユ
ーザー名とパスワードに対応したWEPキーを基にWE
Pアルゴリズムを起動する(S108)。特定のWEP
キーを基に起動されたWEPアルゴリズム(WEP処
理)は、そのWEPキーで暗号化されたデータを正しく
復号することができる。このWEPキーはユーザー固有
のキーであって、あらかじめRADIUSサーバ(20
6)のデータベースに登録され、またSTA(201)
が所持しているものである。
【0041】さらに、認証サーバ206は、STA(2
01)からの「WEPで暗号化されたユーザー名、パス
ワード」データの受信を監視するためのタイマを起動さ
せる(S109)。
【0042】次にSTA(201)はAP(205)か
らの2回目のポーリング(S110)に対して、入力さ
れたユーザー名およびパスワードをWEPキーでで暗号
化し、その「WEPで暗号化されたユーザー名、パスワ
ード」データをAP(205)、有線LAN(207)
経由でRADIUSサーバ(206)に通知する(S1
11、S112)。
【0043】RADIUSサーバ(206)は、受信し
た「WEPで暗号化されたユーザー名、パスワード」デ
ータを、ステップS108で起動したWEP処理により
解読することができる。そして解読したユーザ名及びパ
スワードを、図5のデータベースに登録された有効なユ
ーザ名及びパスワードと照合し、登録されているユーザ
名およびパスワードと一致し、そのユーザ名およびパス
ワードに対応するWEPキーが、現在起動されているW
EPアルゴリズムが基づいているWEPキーと一致する
と判断できた場合(S113)、前記タイマを停止させ
る(S114)。そして、RADIUSサーバ(20
6)はこのWEPキーを有線LAN経由(207)でA
P(205)に送信する(S115)。なおWEPキー
が一致しない場合にはタイマは停止されない。
【0044】AP(205)は、認証サーバ206から
受信したWEPキーを基にWEPアルゴリズムを起動さ
せる(S116)。そしてAP(205)は、AP(2
05)固有のブロードキャストキーをWEPアルゴリズ
ムにより暗号化し、STA(201)に送信する(S1
17)。
【0045】STA(201)は暗号化されたブロード
キャストキーを、STA201自身が保持するWEPキ
ーにより解読して、ブロードキャストキーを入手する
(S118)。
【0046】以上の処理の後、STA(201)は、A
P(205)を介しての1対1通信においては「WEP
キー」を、AP(205)管轄下のSTA(202−2
05)に対してのブロードキャスト通信には、「ブロー
ドキャストキー」を使用して、全通信データを暗号化し
て処理することにより、セキュリティ確保の向上化が図
れる。
【0047】<悪意によるユーザによる認証要求時の処
理>上記構成において、STAが悪意のユーザーによる
使用であった場合について、図4を用いて説明する。こ
の悪意のユーザは、図5のテーブルに登録されたユーザ
名およびパスワードを有しているが、登録されたWEP
キーを保持する無線端末を利用していないユーザであ
る。
【0048】悪意のユーザーは、図1の場合と同様、ま
ずオープン認証処理(S401)を行い、アソシエーシ
ョン(Association)状態となり、盗聴など
の手段により入手した第三者の「ユーザー名、パスワー
ド」を使用して、ネットワークログオン用のダイアログ
ボックスまたはそれに相当する画面にユーザー名、パス
ワードを入力する(S402)。さらに1回目のポーリ
ング(S403)に応答して、入力されたユーザー名と
パスワードを基に一方向ハッシュ関数により算出された
ハッシュ値を、AP(205)、有線LAN(207)
経由でRADIUSサーバ(206)に送信する(S4
04、S405)。
【0049】ユーザー固有のWEPキーはユーザーが所
持するワイヤレスLANアダプタ(図6のネットワーク
コントローラ8)のメモリ内に保存されているため、悪
意のユーザは、RADIUSサーバ(206)に登録済
の正規ユーザーが固有に所持しているWEPキーを利用
することができない。従って悪意のユーザーは、正規ユ
ーザの所持するWEPキーとは異なる偽WEPキーを創
り出し(あるいは悪意のユーザが使用するネットワーク
コントローラ8に保持されている)、それを基にWEP
アルゴリズムを起動させる(S406)。
【0050】RADIUSサーバ(206)は、ユーザ
ー名とパスワードを基にしたハッシュ値を受信して図5
のデータベースに登録された値と照合し(S407)、
ハッシュ値に対応したWEPキーを基にWEPアルゴリ
ズムを起動し(S408)、さらにユーザーからの「W
EPで暗号化されたユーザー名、パスワード」データの
受信を監視するタイマーを起動させる(S409)。
【0051】悪意のユーザーはAP(205)からの2
回目のポーリング(S410)に対して、「偽WEPで
暗号化したユーザー名、パスワード」データをAP(2
05)、有線LAN(207)経由でRADIUSサー
バ(206)に通知する(S411、S412)。
【0052】RADIUSサーバ206が受信したこの
「偽WEPで暗号化したユーザー名、パスワード」デー
タは、RADIUSサーバ206がWEPアルゴリズム
の起動の際に基づいたWEPキーと異なるWEPキーで
暗号化されている。そのため、「偽WEPで暗号化した
ユーザー名、パスワード」は解読不可であり(S41
3)、認証されない(S414)。従って前記タイマー
(S409)は停止されず、タイムアウトとなる(S4
15)。このために、設定されるタイマ値は、STA2
01から暗号化されたユーザ名等を受信してそれを復号
するために十分な時間が選ばれる。
【0053】このタイムアウト(S415)により、R
ADIUSサーバ(206)は、セキュリティを確保す
べく、有線LAN(207)経由でAP(205)に
「WEPキー照合に失敗したユーザー」(悪意のユーザ
ー)との認証を解除するよう指示を行う(S416)。
前記指示を受けたAP(205)は悪意ユーザーとの認
証解除処理を開始し(S417)、アソシエーション状
態を解除する。
【0054】なお、アソシエーション解除後も悪意のユ
ーザーは再度オープン認証処理を行い、WEPキーの解
読を試みる可能性がある。構成上、正規のユーザーがS
TAを使用している場合はWEPキーの照合に失敗する
可能性は少ない。従ってRADIUSサーバから特定ユ
ーザーとの認証の解除を指示されたAPは、前記特定ユ
ーザーからの再度のオープン認証要求を拒否する手段
(S418、S419)、または「WEPキー照合に失
敗したユーザー」の存在をRADIUSサーバ管理者に
メール通知を行う機能を持たせるとより効果的である。
【0055】以上の構成およびシーケンスにより、無線
端末ユーザーは、ユーザー固有の、認証サーバに登録し
たWEPキーによるWEPアルゴリズムを起動させるこ
とが可能であることを認証サーバに通知させる。
【0056】この処理により、認証サーバはアクセスポ
イントを介してネットワークにログインしようとしてい
るユーザーが認証サーバに登録済の正規のユーザである
かどうかの再確認が可能となるためセキュリティが向上
する。
【0057】また悪意のユーザーが何らかの手段により
正規ユーザーの「ユーザ名、パスワード」を盗み出し、
ネットワークにログインしようとしても阻止することが
可能となるため、情報の漏洩、ハッキングを阻止するこ
とが可能となる。
【0058】また、図4に示すように、登録されたユー
ザ名及びパスワードを用いた認証要求に対しても、その
要求が登録されたWEPキーを有さないユーザによる要
求であるならば、WEPキーやブロードキャストキー等
の暗号鍵を解読するための手がかりとなる情報を一切ユ
ーザに渡すことはない。このため、ネットワークシステ
ムの安全性を更に向上させることができる。
【0059】このため、無線端末からサーバに送信する
ハッシュ値が第三者により盗聴されたとしても、暗号鍵
の解読の手がかりはその者にわたることは防止できる。
【0060】なお、本発明は、複数の機器(例えばホス
トコンピュータ、インタフェイス機器、リーダ、プリン
タなど)から構成されるシステムに適用しても、一つの
機器からなる装置(例えば、複写機、ファクシミリ装置
など)に適用してもよい。
【0061】また、本発明の目的は、前述した実施形態
の機能を実現するソフトウェアのプログラムコードを記
録した記憶媒体(または記録媒体)を、システムあるい
は装置に供給し、そのシステムあるいは装置のコンピュ
ータ(またはCPUやMPU)が記憶媒体に格納されたプログ
ラムコードを読み出し実行することによっても達成され
る。
【0062】この場合、記憶媒体から読み出されたプロ
グラムコード自体が前述した実施形態の機能を実現する
ことになり、そのプログラムコード自体およびプログラ
ムコードを記憶した記憶媒体は本発明を構成することに
なる。
【0063】また、コンピュータが読み出したプログラ
ムコードを実行することにより、前述した実施形態の機
能が実現されるだけでなく、そのプログラムコードの指
示に基づき、コンピュータ上で稼働しているオペレーテ
ィングシステム(OS)などが実際の処理の一部または全部
を行い、その処理によって前述した実施形態の機能が実
現される場合も含まれる。
【0064】さらに、記憶媒体から読み出されたプログ
ラムコードが、コンピュータに挿入された機能拡張カー
ドやコンピュータに接続された機能拡張ユニットに備わ
るメモリに書込まれた後、そのプログラムコードの指示
に基づき、その機能拡張カードや機能拡張ユニットに備
わるCPUなどが実際の処理の一部または全部を行い、そ
の処理によって前述した実施形態の機能が実現される場
合も含まれる。
【0065】
【発明の効果】以上説明したように、本発明によれば次
のような効果を奏する。
【0066】第1に、ユーザが、本来の固有の暗号化鍵
を用いて暗号化したユーザ固有の情報を認証サーバに送
信できなければ、認証サーバはそのユーザに対して認証
要求を許可せず、暗号鍵の手がかりをそのユーザに与え
ることを防止できる。
【0067】第2に、認証サーバが、一定の時間内に暗
号化したユーザ固有の情報の復号に成功しない場合に
は、認証サーバはそのユーザに対して認証要求を許可せ
ず、暗号鍵の手がかりをそのユーザに与えることを防止
できる。
【0068】第3に、認証が許可されなかった無線端末
はアクセスポイントとの間の接続も解除され、無線通信
の安全性をより高めることができる。
【0069】第4に、いったん認証要求を不許可とした
ユーザのアクセスの試みを、アクセスポイントにおいて
拒否できるために、無線通信の安全性をより高めること
ができる。
【0070】第5に、ユーザ名及びパスワードを不正ユ
ーザに盗用された場合でも、そのアクセスを防止できる
と共に、暗号鍵を解読する手がかりを与えることを防止
できる。
【図面の簡単な説明】
【図1】本発明の実施形態による正当ユーザによる認証
シーケンスの図である。
【図2】本発明の実施形態におけるネットワークシステ
ムの構成図である。
【図3】従来のユーザによる認証シーケンスの図であ
る。
【図4】本発明の実施形態による悪意ユーザによる認証
シーケンスの図である。
【図5】RADIUSサーバ(206)の登録テーブル
の図である。
【図6】認証サーバあるいは無線端末のブロック図であ
る。
フロントページの続き Fターム(参考) 5B085 AC12 AE01 AE09 AE29 BA06 BC01 BG02 BG07 5J104 AA07 AA16 EA01 EA04 EA18 JA01 JA03 KA01 KA03 KA04 MA01 NA02 NA05 NA12 NA33 NA37 PA01 5K033 AA08 CA01 DA01 DA19 5K067 AA32 DD30 DD57 EE02 EE10 EE16 EE22 HH22 HH24 HH36

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】 共通鍵を用いた暗号通信に対応した、無
    線端末と認証サーバとを有する無線通信システムであっ
    て、 前記無線端末は、ユーザ固有の情報を含む認証要求を前
    記認証サーバに送信し、その後、ユーザ固有の暗号鍵を
    用いて暗号化した前記ユーザ固有の情報を前記認証サー
    バに送信し、 前記認証サーバは、前記無線端末から受信したユーザ固
    有の情報に基づいて暗号鍵を特定し、該暗号鍵により前
    記暗号化した前記ユーザ固有の情報の復号を試み、該試
    みが成功した場合に前記認証要求を許可することを特徴
    とする無線通信システム。
  2. 【請求項2】 前記認証サーバは、前記認証要求を受信
    してから一定の時間内に前記復号の試みが成功しない場
    合には、前記認証要求を許可しないことを特徴とする請
    求項1に記載の無線通信システム。
  3. 【請求項3】 前記認証サーバは、該認証サーバと有線
    通信で接続された無線アクセスポイントを介して前記無
    線端末と接続され、前記認証サーバは、前記認証要求を
    受信してから一定の時間内に前記復号の試みが成功しな
    い場合には、前記アクセスポイントに対して前記無線端
    末とのオープン認証解除処理の開始を指示することを特
    徴とする請求項2に記載の無線通信システム。
  4. 【請求項4】 前記オープン認証解除処理の開始が指示
    された無線アクセスポイントは、当該認証要求に含まれ
    たユーザ固有の情報と同一のユーザ固有の情報を含む認
    証要求を拒否することを特徴とする請求項3に記載の無
    線通信システム。
  5. 【請求項5】 前記ユーザ固有の情報には、ユーザ名と
    ユーザに固有のパスワードとを含むことを特徴とする請
    求項1乃至4のいずれか1項に記載の無線通信システ
    ム。
  6. 【請求項6】 共通鍵を用いた暗号通信に対応した、無
    線端末と認証サーバとを有する無線通信システムの制御
    方法であって、 前記無線端末により、ユーザ固有の情報を含む認証要求
    を前記認証サーバに送信する工程と、 前記認証サーバにより、前記無線端末から受信したユー
    ザ固有の情報に基づいて暗号鍵を特定する工程と、 前記無線端末により、ユーザ固有の暗号鍵を用いて暗号
    化した前記ユーザ固有の情報を前記認証サーバに送信す
    る工程と、 前記認証サーバにより、前記特定した暗号鍵により前記
    暗号化した前記ユーザ固有の情報の復号を試み、該試み
    が成功した場合に前記認証要求を許可する認証工程とを
    備えることを特徴とする無線通信システムの制御方法。
  7. 【請求項7】 前記認証工程において、前記認証サーバ
    は、前記認証要求を受信してから一定の時間内に前記復
    号の試みが成功しない場合には、前記認証要求を許可し
    ないことを特徴とする請求項6に記載の無線通信システ
    ムの制御方法。
  8. 【請求項8】 前記認証サーバは、該認証サーバと有線
    通信で接続された無線アクセスポイントを介して前記無
    線端末と接続され、前記認証サーバは、前記認証要求を
    受信してから一定の時間内に前記復号の試みが成功しな
    い場合には、前記アクセスポイントに対して前記無線端
    末とのオープン認証解除処理の開始を指示する工程を更
    に備えることを特徴とする請求項7に記載の無線通信シ
    ステムの制御方法。
  9. 【請求項9】 共通鍵を用いた暗号通信に対応した無線
    通信により無線端末と接続される認証サーバであって、 前記無線端末から受信した認証要求に含まれるユーザ固
    有の情報に基づいて暗号鍵を特定し、該暗号鍵により、
    前記無線端末から受信した、ユーザ固有の暗号鍵を用い
    て暗号化した前記ユーザ固有の情報の復号を試み、該試
    みが成功した場合に前記認証要求を許可することを特徴
    とする認証サーバ。
  10. 【請求項10】 前記認証要求を受信してから一定の時
    間内に前記復号の試みが成功しない場合には、前記認証
    要求を許可しないことを特徴とする請求項9に記載の認
    証サーバ。
  11. 【請求項11】 前記認証サーバは、該認証サーバと有
    線通信で接続された無線アクセスポイントを介して前記
    無線端末と接続され、前記認証要求を受信してから一定
    の時間内に前記復号の試みが成功しない場合には、前記
    アクセスポイントに対して前記無線端末とのオープン認
    証解除処理の開始を指示することを特徴とする請求項1
    0に記載の認証サーバ。
  12. 【請求項12】 共通鍵を用いた暗号通信に対応した無
    線通信により認証サーバと接続される無線端末であっ
    て、 ユーザ固有の情報を含む認証要求を前記認証サーバに送
    信し、その後、ユーザ固有の暗号鍵を用いて暗号化した
    前記ユーザ固有の情報を前記認証サーバに送信すること
    を特徴とする無線端末。
  13. 【請求項13】 共通鍵を用いた暗号通信に対応した無
    線通信により無線端末と接続されるコンピュータを、 前記無線端末から受信した認証要求に含まれるユーザ固
    有の情報に基づいて暗号鍵を特定させ、該暗号鍵によ
    り、前記無線端末から受信した、ユーザ固有の暗号鍵を
    用いて暗号化した前記ユーザ固有の情報の復号を試みさ
    せ、該試みが成功した場合に前記認証要求を許可させる
    ように機能させることを特徴とするプログラム。
  14. 【請求項14】 共通鍵を用いた暗号通信に対応した無
    線通信により認証サーバと接続されるコンピュータを、 ユーザ固有の情報を含む認証要求を前記認証サーバに送
    信させ、その後、ユーザ固有の暗号鍵を用いて暗号化し
    た前記ユーザ固有の情報を前記認証サーバに送信させる
    ように機能させることを特徴とするプログラム。
  15. 【請求項15】 請求項13または14に記載のプログ
    ラムを記録したことを特徴とするコンピュータ可読記録
    媒体。
JP2002146219A 2002-05-21 2002-05-21 無線通信システム及びその制御方法 Withdrawn JP2003338823A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002146219A JP2003338823A (ja) 2002-05-21 2002-05-21 無線通信システム及びその制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002146219A JP2003338823A (ja) 2002-05-21 2002-05-21 無線通信システム及びその制御方法

Publications (1)

Publication Number Publication Date
JP2003338823A true JP2003338823A (ja) 2003-11-28

Family

ID=29705267

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002146219A Withdrawn JP2003338823A (ja) 2002-05-21 2002-05-21 無線通信システム及びその制御方法

Country Status (1)

Country Link
JP (1) JP2003338823A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074297A (ja) * 2005-09-06 2007-03-22 Fujitsu Ltd 無線通信ネットワークのセキュリティ設定方法、セキュリティ設定プログラム、無線通信ネットワークシステム及びクライアント装置
WO2012081404A1 (ja) * 2010-12-16 2012-06-21 九州日本電気ソフトウェア株式会社 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びコンピュータ読み取り可能な記録媒体
JP2014158156A (ja) * 2013-02-15 2014-08-28 Nec Access Technica Ltd 無線通信システム、無線中継装置、無線端末、無線通信方法、および制御プログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074297A (ja) * 2005-09-06 2007-03-22 Fujitsu Ltd 無線通信ネットワークのセキュリティ設定方法、セキュリティ設定プログラム、無線通信ネットワークシステム及びクライアント装置
US8374339B2 (en) 2005-09-06 2013-02-12 Fujitsu Limited Security setting method of wireless communication network, wireless communication network system, client device and recording medium
WO2012081404A1 (ja) * 2010-12-16 2012-06-21 九州日本電気ソフトウェア株式会社 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びコンピュータ読み取り可能な記録媒体
US9053306B2 (en) 2010-12-16 2015-06-09 Nec Solution Innovators, Ltd. Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium
JP2014158156A (ja) * 2013-02-15 2014-08-28 Nec Access Technica Ltd 無線通信システム、無線中継装置、無線端末、無線通信方法、および制御プログラム

Similar Documents

Publication Publication Date Title
US9131378B2 (en) Dynamic authentication in secured wireless networks
US9769655B2 (en) Sharing security keys with headless devices
US7607015B2 (en) Shared network access using different access keys
CN110035048B (zh) 用于控制对车载无线网络的访问的方法
US7289631B2 (en) Encryption key setting system, access point, encryption key setting method, and authentication code setting system
CN102215221B (zh) 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统
US20050050318A1 (en) Profiled access to wireless LANs
KR100680177B1 (ko) 홈 네트워크 외부에서 사용자를 인증하는 방법
JP2006067174A (ja) 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム
JP2006109449A (ja) 認証された無線局に暗号化キーを無線で提供するアクセスポイント
US20050250472A1 (en) User authentication using a wireless device
JP2008516329A (ja) セキュリティ許可を確立する方法
JP4574122B2 (ja) 基地局、および、その制御方法
JPH11331181A (ja) ネットワーク端末認証装置
JP2003338823A (ja) 無線通信システム及びその制御方法
JP4018584B2 (ja) 無線接続装置の認証方法及び無線接続装置
KR20110128371A (ko) 모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법
JP5545433B2 (ja) 携帯電子装置および携帯電子装置の動作制御方法
JP4103995B2 (ja) Icチップ制御システム、通信端末及びコンピュータプログラム
US20040225709A1 (en) Automatically configuring security system
JP2003143126A (ja) セキュリティ保持方法及びその実施システム並びにその処理プロセス
KR100598356B1 (ko) 단말기에서 무선랜 접속을 수행하는 장치 및 그 방법
TWI271961B (en) A method for automatically setting up a WLAN system has a security certification
CN101454767A (zh) 安全无线网络中的动态认证
Orukpe et al. Computer security and privacy in wireless local area network in Nigeria

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20050802