JP2004023736A - 無線通信システム及び無線通信システムにおける認証方法 - Google Patents

無線通信システム及び無線通信システムにおける認証方法 Download PDF

Info

Publication number
JP2004023736A
JP2004023736A JP2002180052A JP2002180052A JP2004023736A JP 2004023736 A JP2004023736 A JP 2004023736A JP 2002180052 A JP2002180052 A JP 2002180052A JP 2002180052 A JP2002180052 A JP 2002180052A JP 2004023736 A JP2004023736 A JP 2004023736A
Authority
JP
Japan
Prior art keywords
authentication
public key
wireless
wireless communication
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2002180052A
Other languages
English (en)
Inventor
Takatoshi Hirose
廣瀬 崇俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2002180052A priority Critical patent/JP2004023736A/ja
Publication of JP2004023736A publication Critical patent/JP2004023736A/ja
Withdrawn legal-status Critical Current

Links

Images

Abstract

【課題】認証毎に固有の公開鍵を生成し、その公開鍵により認証要求情報を暗号化することでセキュリティを強化する。
【解決手段】認証サーバは、無線ステーション及びアクセスポイントにおける認証毎の鍵作成要求に基づき、無線通信の情報を暗号化するための固有の公開鍵と、その公開鍵により暗号化された情報を復号化するための秘密鍵と、を生成し(S903)、公開鍵により暗号化された認証要求情報を秘密鍵により復号化して、その復号化した認証要求情報が真正な情報か否かの認証判断し、その認証判断に従い、無線ステーション及びアクセスポイントにおいて、暗号化無線通信を可能にするための認証許可を与える(S913)。アクセスポイントは、公開鍵を無線ステーションに送信するための無線データを作成し(S906)、無線ステーションは、無線データを受信して、その無線データから公開鍵を抽出し、抽出された公開鍵により認証判断を受けるための認証要求情報を暗号化する(S910)。
【選択図】 図9

Description

【0001】
【発明の属する技術分野】
本発明は、無線通信システムおよびその無線通信システムにおける認証方法に関するものであり、特に無線アクセスポイント(AP)から送出される同期捕捉用信号(以下、「ビーコン」という。)を用いて、無線ステーション(STA)に公開鍵を配信し、STAからの認証要求をその固有の公開鍵により暗号化して不正アクセスを防止してセキュリティ管理を強化する無線通信システムおよびそのシステムにおける認証方法に関するものである。
【0002】
【従来の技術】
従来よりIEEE802.11規格(米国電気電子技術者協会で規定した国際規格)では、不正なアクセスを防止するために個人情報の照合を認証サーバで行ない、その照合結果に基づきシステムにアクセスするための認証を与えていた。例えば、図1に示す無線LAN環境は、無線ステーションSTA(1、2)と、これら無線ステーションと無線通信を行なうアクセスポイントAP(3)と、アクセスポイントとネットワークにより接続する認証用のRADIUSサーバ(4)と、を含む構成を有している。
【0003】
無線ステーションSTA(1、2)は複数の端末局であり、各端末局は無線信号の送受信機能を有する無線LANアダプタと接続されたノートPC等のデータ端末を有し、秘匿通信を行うために必要なWEP(Wired Equivalent Privacy)鍵は、事前に登録されている。
【0004】
無線アクセスポイントAP(3)は、STAと無線通信するためのインタフェースと、有線網による通信インタフェースと、通信信号を処理するための送受信機能、さらに無線信号を制御するファームウェア等やMACアドレス認証機能も搭載されており、秘匿通信を行うために必要なWEP鍵は、事前に登録されている。
【0005】
サーバ(4)は認証機能を有するサーバであり、認証を許可することが可能なSTA(1、2)のユーザ名、パスワードは事前に登録されている。DS(5)はイーサネット(登録商標)ケーブル等の有線網である。
【0006】
図1のシステム構成における、従来例における認証のシーケンスを図2により説明する。STA(1、2)とAP(3)はIEEE802.11規格で規定された認証の一つであるオープン認証処理(S1001)を行い、アソシエーション(Association)状態とする。この時点でAP(3)はSTA(1、2)に対して、ポーリング、データ送信処理が可能となるが、STA(1、2)のネットワークリソースへのアクセスは、ネットワークにログオンするまでは、AP(3)で全てブロックされる。
【0007】
STA(1、2)のユーザは、ネットワークログオン用のダイアログボックスまたはそれに相当する画面に個人情報として、ユーザ名と、パスワードを入力する(S1002)。STA(1、2)は入力されたユーザ名とパスワードのOne−way HashをHash関数によって算出し、AP(3)経由でRADIUSサーバ(4)に送信する(S1004、S1005)。RADIUSサーバ(4)は受け取ったユーザ名とパスワードのHashを認証サーバ内のデータベースに格納される有効なユーザ名及びパスワードと照合し(S1006)、そのSTA(1、2)から送信された認証要求を認証してよいかどうかを判断する(認証処理)。
【0008】
認証サーバにおいて、上記の認証処理が成功すると、ネットワークリソースへのアクセスは許可され、RADIUSサーバ(4)は認証が成功したことを示すメッセージ(DB認証OK)をAP(3)経由でSTA(1、2)に送信する(S1007、S1008)。
【0009】
このメッセージを受けたAP(3)とSTA(1、2)は、それぞれ予め設定してあるWEP鍵を有効な値とし(S1009、S1010)、以降、STAとAPはWEP鍵を作動させ、セキュリティが確保された暗号化通信が可能になる(S1011)。
【0010】
【発明が解決しようとする課題】
しかしながら上記の従来例では同一のHash関数を用いるために、認証の度に認証要求としてHashを算出しても、同じユーザ名・パスワードを使用する限りは認証に同一のHashを用いることになるので、セキュリティが確保されない恐れがある。そのために他人のユーザ名やパスワードを転用した悪意のある第三者がネットワークに不正侵入する可能性があった。
【0011】
【課題を解決するための手段】
上記課題を解決するべく、本発明にかかる無線通信システム及びその認証方法は、主として以下の構成を有することを特徴とする。
【0012】
すなわち、無線ステーションと、該無線ステーションと無線通信により接続するアクセスポイントと、該アクセスポイントとネットワークにより接続し、該無線ステーションの認証要求を判断する認証サーバと、を有する無線通信システムにおいて、
前記認証サーバは、
前記無線ステーション及び前記アクセスポイントにおける認証毎の鍵作成要求に基づき、前記無線通信の情報を暗号化するための固有の公開鍵と、該公開鍵により暗号化された情報を復号化するための秘密鍵と、を生成する鍵作成手段と、
前記公開鍵により暗号化された認証要求情報を前記秘密鍵により復号化して、該復号化した認証要求情報が真正な情報か否かの認証判断をする認証手段と、
前記認証判断に従い、前記無線ステーション及び前記アクセスポイントにおいて、暗号化無線通信を可能にするための認証許可を与える許可手段と、を有し、
前記アクセスポイントは、
前記公開鍵を前記無線ステーションに送信するための無線データを作成するメッセージ作成手段を有し、
前記無線ステーションは、
前記無線データを受信して、該無線データから前記公開鍵を抽出する抽出手段と、
前記抽出された公開鍵により、前記認証判断を受けるための認証要求情報を暗号化する暗号化手段と、を有することを特徴とする。
【0013】
本発明によれば、認証が終わるたびに、認証サーバは鍵作成要求に応じた鍵を作成し、認証時固有の公開鍵でユーザ名・パスワードを暗号化することにより、システムのセキュリティの強化を図ることができる。
【0014】
好ましくは上記の無線通信システムにおいて、前記メッセージ作成手段は、前記無線ステーションに対して、ビーコンフレーム若しくはデータフレームにより前記公開鍵を送信するためのデータを生成する。
【0015】
好ましくは上記の無線通信システムにおいて、前記認証サーバは、前記鍵作成要求の到達時刻を計測する計時手段を更に有し、
前記鍵作成手段は、前記計時手段により計測された時刻に基づき、前記公開鍵と該公開鍵と一対の秘密鍵を生成する。
【0016】
好ましくは上記の無線通信システムにおいて、前記認証要求情報には、前記無線ステーションが送信する個人情報が含まれる。
【0017】
好ましくは上記の無線通信システムにおいて、前記認証手段は、認証毎に、前記個人情報が真正な情報か否かの認証判断をする。
【0018】
好ましくは上記の無線通信システムにおいて、前記無線ステーションは、バッテリーセービング状態を設定若しくは解除するための制御手段を更に有し、
前記制御手段は、前記認証後、前記アクセスポイントからビーコンフレームにより前記公開鍵を受信する場合には、前記バッテリーセービング状態を解除し、
前記公開鍵の受信が終了した後に、バッテリ−セービング状態に設定する。
【0019】
好ましくは上記の無線通信システムにおいて、前記受信したビーコンフレームで通知される公開鍵通知フレームの順序番号順とビットデータとを記憶する記憶手段を更に有する。
【0020】
好ましくは上記の無線通信システムにおいて、前記認証サーバは、ネットワークにアクセスすることが認められている個人情報を格納したデータベースを有し、
前記認証手段は、前記認証要求情報と、該データベースに格納されている情報と、を照合して認証判断する。
【0021】
好ましくは上記の無線通信システムにおいて、前記制御手段は前記順序番号順に基づいて、前記アクセスポイントから送信されるデータが全て受信できたか否かを判断し、
該データを全て受信できた場合は、受信完了信号を前記アクセスポイントに送信する。
【0022】
好ましくは上記の無線通信システムにおいて、前記アクセスポイントは、前記受信完了信号が受信できない場合は、前記無線データを再度前記無線ステーションに送信する。
【0023】
好ましくは上記の無線通信システムにおいて、前記無線ステーション及び前記アクセスポイントは、前記認証サーバによる前記認証許可が与えられた場合、
それぞれの記憶手段に予め記憶する暗号鍵を設定して、該暗号鍵を用いて、暗号化無線通信を可能にする手段をそれぞれ有する。
【0024】
好ましくは上記の無線通信システムにおいて、前記暗号鍵はWEP鍵である。
【0025】
好ましくは上記の無線通信システムにおいて、前記公開鍵による暗号化及び前記秘密鍵による復号化は、IEEE802.11、IEEE802.11a、およびIEEE802.11bに準拠する。
【0026】
また、無線ステーションと、該無線ステーションと無線通信により接続するアクセスポイントと、該アクセスポイントとネットワークにより接続し、該無線ステーションの認証要求を判断する認証サーバと、を有する無線通信システムにおける認証方法であって、
前記認証サーバにおいて実行される処理は、
前記無線ステーション及び前記アクセスポイントにおける認証毎の鍵作成要求に基づき、前記無線通信の情報を暗号化するための固有の公開鍵と、該公開鍵により暗号化された情報を復号化するための秘密鍵と、を生成する鍵作成工程と、
前記公開鍵により暗号化された認証要求情報を前記秘密鍵により復号化して、該復号化した認証要求情報が真正な情報か否かの認証判断をする認証工程と、
前記認証判断に従い、前記無線ステーション及び前記アクセスポイントにおいて、暗号化無線通信を可能にするための認証許可を与える許可工程と、を有し、
前記アクセスポイントにおいて実行される処理は、
前記公開鍵を前記無線ステーションに送信するための無線データを作成するメッセージ作成工程を有し、
前記無線ステーションにおいて実行される処理は、
前記無線データを受信して、該無線データから前記公開鍵を抽出する抽出工程と、
前記抽出された公開鍵により、前記認証判断を受けるための認証要求情報を暗号化する暗号化工程と、を有することを特徴とする。
【0027】
【発明の実施の形態】
<システムの構成>
以下、本発明にかかる実施形態を図面を参照して説明する。
【0028】
図4は無線通信システムの構成を例示する図であり、無線エリア405内には複数の端末局となる無線ステーションSTA(402、403)と、この無線ステーションSTAと無線通信が可能なアクセスポイント(401)と、このアクセスポイントとネットワーク網により接続しているRADIUSサーバ(Remote Access Dial−In User Serviceサーバ:404)が含まれる。DS(406)はイーサネット(登録商標)ケーブル等の有線網である。
【0029】
無線ステーションSTA(402、403)は複数の端末局であり、各端末局は無線信号の送受信機能を有する無線LANアダプタと接続されたノートPC等のデータ端末を有し、アクセスポイントおよびネットワークリソースと暗号化通信を行うために必要なWEP(Wired Equivalent Privacy)鍵は、事前に登録されているものとする。
【0030】
図5は無線ステーションの構成を示すブロック図であり、無線送受信部(302)、暗号化処理部(303)、インタフェース処理部(304)、メッセージ生成部(305)、制御部(306)、ビット列抽出部、記憶部(308)を有する。尚、これら構成部分の詳細な説明は後の認証処理の説明において行なうものとする。
【0031】
無線アクセスポイントAP(401)は、無線ステーションSTAと無線通信するためのインタフェースと、有線網による通信インタフェースと、通信信号を処理するための送受信機能、さらに無線信号を制御するファームウェア等やMACアドレス認証機能も搭載されており、暗号化通信を行うために必要なWEP鍵は事前に登録されているものとする。
【0032】
図6はアクセスポイントの構成を示すブロック図であり、無線送受信部(202)、記憶部(203)、ネットワークインターフェース処理部(204)、メッセージ作成部(205)、制御部(206)を有する。このうち、無線送受信部(202)は無線ステーションSTAとの間で、無線情報を授受するためのインターフェースとして機能し、ネットワークインターフェース処理部(204)は、システムのネットワーク網(406)と有線により接続し、後述の認証サーバと無線ステーションの認証に関するデータの授受が可能である。
【0033】
認証サーバ(404)(「RADIUS(Remote Access Dial−In User Service)サーバ」ともいう。)は認証機能を有するサーバであり、認証が可能な無線ステーションSTA(402、403)のユーザ名、パスワードは事前に登録されているものとする。
【0034】
図7は認証サーバ(404)の構成を示すブロック図であり、鍵作成部102、復号化処理部(103)、ネットワークインターフェース処理部(104)、記憶部(105)、制御部(106)、計時部(107)を有する。このうち、鍵作成部(102)は、情報を暗号化するための公開鍵と、その公開鍵により暗号化された情報を復号化するための秘密鍵を生成し、公開鍵はネットワークインターフェース処理部(104)によりアクセスポイント(401)に送られる。
【0035】
尚、本発明にかかる実施形態において、公開鍵による暗号化及び秘密鍵による復号化は、IEEE802.11、IEEE802.11a、およびIEEE802.11b規格に準拠するものである。
【0036】
DS(406)はイーサネット(登録商標)ケーブル等の有線網である。
【0037】
ユーザの認証セキュリティを強化するために、認証サーバで生成した公開鍵をアクセスポイントAP(401)と、無線ステーションSTA(402、403)とに配信する際に、同期捕捉用信号(ビーコン)フレームを利用して配信する方法を用いた無線通信システムを説明する。ここでは、公開鍵および秘密鍵は128ビットのものを用いた例を示すが、本発明の趣旨はこれに限定されるものではなく、例えば64ビット等のものを用いることは可能である。
【0038】
本実施形態にかかる無線通信システムの構成は先に説明した図4で示されるとおりであるが、これらの要素の相互関係を説明すると以下のようになる。
【0039】
認証用のサーバとしてRADIUSサーバ(404)を用い、有線通信網DS(406)としてイーサネット(登録商標)ケーブルを用いている。アクセスポイントAP(401)はRADIUSサーバ(404)とイーサーネットケーブルにより接続し、ネットワークインタフェース処理部(図7の104、図6の204)を介して、相互にデータの送受が可能である。
【0040】
RADIUSサーバ(404)は、無線ステーションSTA(402、403)から出力される認証要求が真正なものか否かを判断するためのデータベースをサーバ内の記憶部(105)に有しており、このデータベースには予めRADIUSサーバ(404)にアクセス可能な無線ステーションSTAが登録されている。
【0041】
アクセスポイントAP(401)は、複数の無線ステーションSTA(402、403)と無線通信が可能であり、常時ビーコンと呼ばれる同期捕捉用信号を無線エリア405内に送出している。従来、IEEE802.11b規格におけるビーコンフレームは、図3において、ハッチングを付して示すように「Reserve Filed」を含む構成をとっているが、本実施形態におけるビーコンフレームは、このReserve Filedに代わり、「公開鍵通知フレーム」を含む図8のようなフレーム構造のものが生成される。
【0042】
図4において、405は無線エリアを示し、この範囲はアクセスポイントAP(401)の無線信号が届く範囲を示している。無線エリア(405)の範囲外から無線エリア(405)内に無線ステーションSTAが移動して進入する場合、無線ステーションはアクセスポイントAP(401)との間の認証の他に、セキュリティを強化するためにRADIUSサーバ(404)との間の認証も必要となる。この認証の際、上述の公開鍵により個人情報を秘匿してセキュリティの強化を図るものである。 以下、その認証処理の手順について説明する。
【0043】
無線ステーションSTA(402、403)は、アクセスポイントAP(401)と無線接続可能な端末であり、入出力装置として不図示の情報端末装置を有し、この情報端末装置からユーザの個人情報として、ユーザ名やパスワードの入力処理が行なわれる。この入力処理の結果はインタフェース処理部(304)を介し、無線送受信部302からアクセスポイント(401)にデータが送出される。
【0044】
図9は、本実施形態にかかる認証のシーケンスを説明するシーケンスチャートであり、図10は無線ステーションSTAにおける処理の流れを示すフローチャート、図11はアクセスポイントにおける処理の流れを説明するフローチャート、そして図12はRADIUSサーバ(404)の処理の流れを説明するフローチャートである。
【0045】
無線ステーションSTA(402、403)が移動して、無線エリア(405)に進入した場合、アクセスポイントAP(401)との間で無線LAN標準(IEEE802.11)の認証方法の一つであるオープン認証を行う(S901、S1051、S1101)。
【0046】
オープン認証が成功するとアクセスポイントAP(401)はRADIUSサーバ(404)に対して鍵作成要求メッセ−ジを、無線ステーションSTA(402、403)の識別IDとともに送出する(S802、S1102)。RADIUSサーバ(404)は、鍵作成要求メッセ−ジを受信すると(図12のS1201−Yes)、受信メッセージ到達時間(T1)を計時部(107)にて計測を開始し(S1202)、その時間を基にして鍵作成部(102)において情報を暗号化するための公開鍵と、その暗号化された情報を復号化するための秘密鍵と、をペアとして作成する(S903、S1203)。
【0047】
また、無線ステーションSTA(402、403)はアクセスポイントAP(401)におけるオープン認証(S901)が成功すると、自己がビーコンを間引き受信するバッテリーセービング(BS)状態であるかどうかのチェックを実行し(S1052)、BS状態であれば(S1052−Yes)、無線ステーションの制御部(306(図5))はBS状態を解除して(S1053)、アクセスポイントAP(401)から送出されるビーコンを受信するための準備をする。
【0048】
一方、RADIUSサーバ(404)は、図12のステップS1203(図9のS903)において、作成した公開鍵と、認証要求元STAを識別するためのIDと、をAPに対して公開鍵通知として送信する(S904、S1204)。
【0049】
公開鍵通知を受信したアクセスポイントAP(401)は、その情報をアクセスポイント内の記憶部(203)に格納し(S1104)、RADIUSサーバ(404)に対して公開鍵通知を受信した旨のメッセージを送信する(S905)。
【0050】
公開鍵等のデータを記憶部(203)に格納した後、アクセスポイントAP(401)はメッセージ生成部(205)において、例えば図13(a)で示すような公開鍵通知フレームを生成し、この公開鍵通知フレームを図8に示すビーコンフレームに組込み(S1105)、無線ステーションに対して公開鍵通知(ビーコン)を送信する(S906、S1106)。
【0051】
図13(a)の公開鍵通知フレームは0から63までの順序番号を2進数のデータとする6ビットの順序番号部(1301)と、2ビットのデータビット部(1302)と、から構成される。尚、ここでアクセスポイントAP(401)のメッセージ生成部(205)が生成する公開鍵通知フレームは、図13(a)に示すデータ構造のものに限られるものではなく、STAに対して配信するべきデータに応じて任意に設定を変更することが可能である。
【0052】
図10のステップS1052、S1053で、BS状態のチェックを終えた無線ステーションSTA(402、403)は、処理を次のステップS1054に進め、AP401から送出されたビーコンの収集を開始する(S1054)。無線ステーションSTAのビット列抽出部(307)は収集したビーコンを判定し、公開鍵通知フレームを持ったビーコンが送信されてきたら、順序番号(1301)とともにデータビット(1302)のデータを無線ステーションの記憶部(308)に格納する。
【0053】
無線ステーションSTA(402、403)はすべての順序番号(1301)(本実施形態の場合は0〜63)に対応するデータビット(1302)のデータが格納できた場合は(S1055−Yes)、処理をステップS1056に進め、AP(401)に対して公開鍵受信完了メッセージを送信する(S907、S1056)。
【0054】
アクセスポイントAP(401)は公開鍵を送信し終えた後、公開鍵受信完了メッセージ(S907)が受信できない時は、再度順序番号(1301)「0」からビーコンを送信する。何らかの影響で無線ステーションSTA(402、403)からアクセスポイントAP(401)に公開鍵受信完了メッセージが渡せないことが考えられ、送受信障害が発生する場合も想定されるので、そのような問題を回避するために、送信回数を複数回にして、同一メッセージを送信することもできる。
【0055】
無線ステーションSTA(402、403)における制御部(306)は公開鍵の受信が完了した後、再びバッテリーセービング(BS)状態に設定する。
【0056】
公開鍵受信完了メッセージを送出し終えた無線ステーションSTA(402、403)は、不図示のネットワークログオン用のダイアログボックスまたはそれに相当する画面を表示部に表示させて、ユーザーに対して、個人情報としてユーザー名とパスワードの入力を促し(S908、S1057)、それを受けてユーザは個人情報を入力することができる(S909、S1058)。
【0057】
無線ステーションSTA(402、403)は、暗号化処理部(303)で、入力された個人情報を先に受信した公開鍵を用いて暗号化し(S910、S1059)、この暗号化した個人情報をAP(401)に送信する(S911、S1060)。
【0058】
アクセスポイントAP(401)は、受信した暗号化個人情報(S1107−Yes)をRADIUSサーバ(404)に送信する(S912、S1108)。
【0059】
暗号化個人情報を受信したRADIUSサーバ(404)は、復号化処理部(103)において、ステップS903、S1203で生成した秘密鍵を用いて、暗号化された個人情報を復号化し(S1206)、記憶部(105)内のデータベース(DB)に格納されている個人情報と照合し、一致した個人情報がある場合(S1207−OK)、RADIUSサーバ(404)はAP(401)経由で、データベースに格納されている個人情報と一致した旨、「DB認証OKメッセージ」、をSTA(402、403)に送信する(S914、S1208)。
【0060】
DB認証OKメッセージを受信したAP(401)とSTA(402、403)は、このメッセージの受信に基づき(S915、S1061−Yes、S1109−Yes)、予め設定してあるWEP鍵を有効化することができる(S916、S917、S1062、S1110)。無線ステーション(402,403)およびアクセスポイント(401)は、WEP鍵を設定し、以降の通信シーケンスにおいて、無線エリア405内における無線通信はWEP鍵を用いた秘匿通信が可能になる(S918)。
【0061】
以上がセキュリティを強化した認証方法の説明である。本実施形態では128ビットの公開鍵を用いた場合について説明したが、64ビットの公開鍵を用いた場合でも対応可能であり、その場合は図13の公開鍵通知フレームの構成を変更することが考えられる。
【0062】
以上説明したように、本実施形態によれば、オープン認証が終わるたびに、認証サーバは鍵作成要求に応じた鍵を作成し、認証時固有の公開鍵でユーザ名・パスワードを暗号化することにより、システムのセキュリティの強化を図ることができる。
【0063】
<実施形態2>
第1実施形態では、公開鍵の配信のために、公開鍵通知フレーム(図13)をビーコンフレーム(図8)に組込んで無線ステーションに配信した例を示したが、本実施形態ではビーコンフレームによらず、認証サーバが生成した公開鍵を利用した例を説明したが、実施形態2として公開鍵の配信のために公開鍵をデータとして配信するためにデータフレームを生成して、これを無線ステーションに配信してもよい。実施形態2におけるシステム構成も実施形態1のシステム構成(図4)と同様である。認証装置としてRADIUSサーバ(404)を用い、DS(406)としてイーサネット(登録商標)ケーブルを用いている。アクセスポイントAP(401)はRADIUSサーバ(404)とそれぞれのネットワークインタフェース処理部(104、204)を介して、イーサネット(登録商標)ケーブルで有線接続されている。
【0064】
RADIUSサーバ(404)は、無線ステーションSTA(402、403)がRADIUSサーバ(404)の管理するネットワークに対して、アクセス可能なSTA(402、403)を記憶しているデータベースを記憶部(106)に有する。AP(401)は、複数のSTA(402、403)と無線接続ができる。無線ステーションSTA(402、403)は、アクセスポイントAP(401)と無線接続可能な端末であり、入出力装置である情報端末装置とインタフェース(304)を介して接続している。アクセスポイントAP(401)の無線信号が届く範囲である無線エリア(405)の外から無線エリア(405)内に無線ステーションSTA(402、403)が移動して入る場合、セキュリティ管理上、無線ステーション(402、403)は、アクセスポイント(401)と、RADIUSサーバ(404)と、の間の認証が必要となる。
【0065】
図14は、無線ステーションSTAにおける認証処理の流れを説明するフローチャートであり、第1実施形態における図10に対応する。ここで、図14において、図10と共通の処理を実行するステップは同一のステップ番号を付して図示するものとする。
【0066】
無線エリア内に移動してきた無線ステーションSTA(402、403)は、無線LAN標準(IEEE802.11)の認証方法の一つであるオープン認証を行う(S1051)。オープン認証が成功するとアクセスポイントAP(401)はRADIUSサーバ(404)に対して鍵作成要求メッセ−ジを、無線ステーションSTA(402、403)のIDとともに送出する(図9のS902)。RADIUSサーバ(404)は、鍵作成要求メッセ−ジを受信すると、受信メッセージ到達時間を計時部(107)にて計測し、その時間を基にして鍵作成部(102)において公開鍵/秘密鍵のペアを作成する(S903)。
【0067】
RADIUSサーバ(404)は、作成した公開鍵をアクセスポイントAP(401)に対して無線ステーションSTA(402、403)のIDとともに送信(S904)する。
【0068】
アクセスポイントAP(401)は受信した情報を記憶部(203)に格納し、その情報に基づきメッセージ生成部(205)において、公開鍵通知メッセージを生成し、無線ステーションSTAに対し送信する(S906)。ここで生成される公開鍵通知メッセージには、RADIUSサーバ(404)が生成した公開鍵の情報をデータフレームとして有し、無線ステーションとの間でIEEE802.11、IEEE802.11a、およびIEEE802.11bに準拠した無線通信が可能なプロトコルの階層構成を備えるものとする。
【0069】
公開鍵通知メッセージを受信(S1401)した無線ステーションSTA(402、403)は、アクセスポイントAP(401)に対し公開鍵受信完了メッセージを送信する(S1056)。
【0070】
公開鍵受信完了メッセージを送出し終えたSTA(402、403)は、ユーザに対してユーザ名やパスワードなどの個人情報の入力を促し(S908、S1057)、それを受けてユーザは個人情報を入力(S909、S1058)する。
【0071】
無線ステーションSTA(402、403)は、暗号化処理部(303)で、入力された個人情報を、ステップS1401で受信した公開鍵を用いて暗号化し(S910、S1059)、その暗号化した情報をアクセスポイントAP(401)を経由してRADIUSサーバ(404)に送信する(S911、S912、S1060)。
【0072】
暗号化個人情報を受信したRADIUSサーバ(404)は、復号化処理部(103)において、ステップS903(図9)で生成された秘密鍵を用いて復号化し、記憶部(105)に格納されたデータベースの情報と、復号化した個人情報とが一致するか否かを照合し、一致した個人情報がある場合ある場合はアクセスポイントAP(401)経由でDB認証OKメッセージを無線ステーションSTA(402、403)に送信する(S914、S915、S1061)。
【0073】
DB認証OKメッセージを受信したアクセスポイントAP(401)と無線ステーションSTA(402、403)は、このメッセージの受信に基づき(S915)、予め設定してあるWEP鍵を有効化することができる(S916、S917)。無線ステーション(402,403)およびアクセスポイント(401)は、WEP鍵を設定し、以降の通信シーケンスにおいて、無線エリア405内における無線通信はWEP鍵を用いた秘匿通信が可能になる(S918)。
【0074】
【発明の効果】
以上説明したように、本発明によれば、認証が終わるたびに、認証サーバは鍵作成要求に応じた鍵を作成し、認証時固有の公開鍵でユーザ名・パスワードを暗号化することにより、システムのセキュリティの強化を図ることができる。
【図面の簡単な説明】
【図1】従来例における無線LAN環境を説明する図である。
【図2】従来例における認証のシーケンスを説明する図である。
【図3】従来のIEEE802.11b規格におけるビーコンフレームを説明する図である。
【図4】無線通信システムの構成を説明する図である。
【図5】無線ステーションの構成を示すブロック図である。
【図6】アクセスポイントの構成を示すブロック図である。
【図7】認証サーバの構成を示すブロック図である。
【図8】実施形態にかかるビーコンフレームを説明する図である。
【図9】本実施形態にかかる認証のシーケンスを説明するシーケンスチャートである。
【図10】無線ステーションにおける処理の流れを示すフローチャートである。
【図11】アクセスポイントにおける処理の流れを説明するフローチャートである。
【図12】RADIUSサーバの処理の流れを説明するフローチャートである。
【図13】公開鍵通知フレームを説明する図である。
【図14】第2実施形態において、無線ステーションにおける認証処理の流れを説明するフローチャートである。

Claims (14)

  1. 無線ステーションと、該無線ステーションと無線通信により接続するアクセスポイントと、該アクセスポイントとネットワークにより接続し、該無線ステーションの認証要求を判断する認証サーバと、を有する無線通信システムにおいて、
    前記認証サーバは、
    前記無線ステーション及び前記アクセスポイントにおける認証毎の鍵作成要求に基づき、前記無線通信の情報を暗号化するための固有の公開鍵と、該公開鍵により暗号化された情報を復号化するための秘密鍵と、を生成する鍵作成手段と、
    前記公開鍵により暗号化された認証要求情報を前記秘密鍵により復号化して、該復号化した認証要求情報が真正な情報か否かの認証判断をする認証手段と、
    前記認証判断に従い、前記無線ステーション及び前記アクセスポイントにおいて、暗号化無線通信を可能にするための認証許可を与える許可手段と、を有し、
    前記アクセスポイントは、
    前記公開鍵を前記無線ステーションに送信するための無線データを作成するメッセージ作成手段を有し、
    前記無線ステーションは、
    前記無線データを受信して、該無線データから前記公開鍵を抽出する抽出手段と、
    前記抽出された公開鍵により、前記認証判断を受けるための認証要求情報を暗号化する暗号化手段と、を有することを特徴とする無線通信システム。
  2. 前記メッセージ作成手段は、前記無線ステーションに対して、ビーコンフレーム若しくはデータフレームにより前記公開鍵を送信するためのデータを生成することを特徴とする請求項1に記載の無線通信システム。
  3. 前記認証サーバは、前記鍵作成要求の到達時刻を計測する計時手段を更に有し、
    前記鍵作成手段は、前記計時手段により計測された時刻に基づき、前記公開鍵と該公開鍵と一対の秘密鍵を生成することを特徴とする請求項1に記載の無線通信システム。
  4. 前記認証要求情報には、前記無線ステーションが送信する個人情報が含まれることを特徴とする請求項1に記載の無線通信システム。
  5. 前記認証手段は、認証毎に、前記個人情報が真正な情報か否かの認証判断をすることを特徴とする請求項4に記載の無線通信システム。
  6. 前記無線ステーションは、バッテリーセービング状態を設定若しくは解除するための制御手段を更に有し、
    前記制御手段は、前記認証後、前記アクセスポイントからビーコンフレームにより前記公開鍵を受信する場合には、前記バッテリーセービング状態を解除し、
    前記公開鍵の受信が終了した後に、バッテリ−セービング状態に設定することを特徴とする請求項1に記載の無線通信システム。
  7. 前記受信したビーコンフレームで通知される公開鍵通知フレームの順序番号順とビットデータとを記憶する記憶手段を更に有することを特徴とする請求項1に記載の無線通信システム。
  8. 前記認証サーバは、ネットワークにアクセスすることが認められている個人情報を格納したデータベースを有し、
    前記認証手段は、前記認証要求情報と、該データベースに格納されている情報と、を照合して認証判断することを特徴とする請求項1または4に記載の無線通信システム。
  9. 前記制御手段は前記順序番号順に基づいて、前記アクセスポイントから送信されるデータが全て受信できたか否かを判断し、
    該データを全て受信できた場合は、受信完了信号を前記アクセスポイントに送信することを特徴とする請求項6に記載の無線通信システム。
  10. 前記アクセスポイントは、前記受信完了信号が受信できない場合は、前記無線データを再度前記無線ステーションに送信することを特徴とする請求項1または9に記載の無線通信システム。
  11. 前記無線ステーション及び前記アクセスポイントは、前記認証サーバによる前記認証許可が与えられた場合、
    それぞれの記憶手段に予め記憶する暗号鍵を設定して、該暗号鍵を用いて、暗号化無線通信を可能にする手段をそれぞれ有することを特徴とする請求項1に記載の無線通信システム。
  12. 前記暗号鍵はWEP鍵であることを特徴とする請求項11に記載の無線通信システム。
  13. 前記公開鍵による暗号化及び前記秘密鍵による復号化は、IEEE802.11、IEEE802.11a、およびIEEE802.11bに準拠することを特徴とする請求項1乃至12のいずれか1項に記載の無線通信システム。
  14. 無線ステーションと、該無線ステーションと無線通信により接続するアクセスポイントと、該アクセスポイントとネットワークにより接続し、該無線ステーションの認証要求を判断する認証サーバと、を有する無線通信システムにおける認証方法であって、
    前記認証サーバにおいて実行される処理は、
    前記無線ステーション及び前記アクセスポイントにおける認証毎の鍵作成要求に基づき、前記無線通信の情報を暗号化するための固有の公開鍵と、該公開鍵により暗号化された情報を復号化するための秘密鍵と、を生成する鍵作成工程と、
    前記公開鍵により暗号化された認証要求情報を前記秘密鍵により復号化して、該復号化した認証要求情報が真正な情報か否かの認証判断をする認証工程と、
    前記認証判断に従い、前記無線ステーション及び前記アクセスポイントにおいて、暗号化無線通信を可能にするための認証許可を与える許可工程と、を有し、
    前記アクセスポイントにおいて実行される処理は、
    前記公開鍵を前記無線ステーションに送信するための無線データを作成するメッセージ作成工程を有し、
    前記無線ステーションにおいて実行される処理は、
    前記無線データを受信して、該無線データから前記公開鍵を抽出する抽出工程と、
    前記抽出された公開鍵により、前記認証判断を受けるための認証要求情報を暗号化する暗号化工程と、を有することを特徴とする認証方法。
JP2002180052A 2002-06-20 2002-06-20 無線通信システム及び無線通信システムにおける認証方法 Withdrawn JP2004023736A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002180052A JP2004023736A (ja) 2002-06-20 2002-06-20 無線通信システム及び無線通信システムにおける認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002180052A JP2004023736A (ja) 2002-06-20 2002-06-20 無線通信システム及び無線通信システムにおける認証方法

Publications (1)

Publication Number Publication Date
JP2004023736A true JP2004023736A (ja) 2004-01-22

Family

ID=31177296

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002180052A Withdrawn JP2004023736A (ja) 2002-06-20 2002-06-20 無線通信システム及び無線通信システムにおける認証方法

Country Status (1)

Country Link
JP (1) JP2004023736A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006080623A1 (en) * 2004-09-22 2006-08-03 Samsung Electronics Co., Ltd. Method and apparatus for managing communication security in wireless network
JP2006285826A (ja) * 2005-04-04 2006-10-19 Nec Corp 利用者固有情報の配布方法、装置およびシステム
WO2007070357A2 (en) 2005-12-14 2007-06-21 Intel Corporation Secure wireless network
CN102118394A (zh) * 2011-01-24 2011-07-06 郑州信大捷安信息技术有限公司 基于双界面安全智能卡的网上银行远程支付的安全认证方法
US8270607B2 (en) 2006-12-27 2012-09-18 Samsung Electronics Co., Ltd. Method of protecting broadcast frame, terminal authenticating broadcast frame, and access point broadcasting broadcast frame
CN106656933A (zh) * 2015-11-03 2017-05-10 阿里巴巴集团控股有限公司 无线网络的接入认证方法及终端和接入点

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006080623A1 (en) * 2004-09-22 2006-08-03 Samsung Electronics Co., Ltd. Method and apparatus for managing communication security in wireless network
US7721325B2 (en) 2004-09-22 2010-05-18 Samsung Electronics Co., Ltd. Method and apparatus for managing communication security in wireless network
JP2006285826A (ja) * 2005-04-04 2006-10-19 Nec Corp 利用者固有情報の配布方法、装置およびシステム
JP4735809B2 (ja) * 2005-04-04 2011-07-27 日本電気株式会社 利用者固有情報の配布方法、装置およびシステム
WO2007070357A2 (en) 2005-12-14 2007-06-21 Intel Corporation Secure wireless network
WO2007070357A3 (en) * 2005-12-14 2007-08-02 Intel Corp Secure wireless network
US7882545B2 (en) 2005-12-14 2011-02-01 Intel Corporation Secure wireless network
US8270607B2 (en) 2006-12-27 2012-09-18 Samsung Electronics Co., Ltd. Method of protecting broadcast frame, terminal authenticating broadcast frame, and access point broadcasting broadcast frame
CN102118394A (zh) * 2011-01-24 2011-07-06 郑州信大捷安信息技术有限公司 基于双界面安全智能卡的网上银行远程支付的安全认证方法
CN106656933A (zh) * 2015-11-03 2017-05-10 阿里巴巴集团控股有限公司 无线网络的接入认证方法及终端和接入点

Similar Documents

Publication Publication Date Title
KR100843072B1 (ko) 무선 네트워크 시스템 및 이를 이용한 통신 방법
JP3552648B2 (ja) アドホック無線通信用データ送受システム及びアドホック無線通信用データ送受方法
ES2263474T3 (es) Metodo y aparato para inicializar comunicaciones seguras entre dispositivos inalambricos y para emparejarlos en forma exclusiva.
CN100574184C (zh) 用于在计算机系统之间建立用于传递消息的安全上下文的方法和设备
KR101658501B1 (ko) 해시함수 기반의 전자서명 서비스 시스템 및 그 방법
EP1610202B1 (en) Using a portable security token to facilitate public key certification for devices in a network
JP5138858B2 (ja) データ伝送のセキュリティを確保する方法、通信システム及び通信装置
JP2005223924A (ja) ユニバーサルパーベイシブトランザクションフレームワークのためのオピニオン登録アプリケーション
CN101853533B (zh) 用于楼宇门禁系统的密码设定方法和装置
CN101742508A (zh) 一种wapi终端与应用服务器传输文件的系统及方法
JP2002290418A (ja) 無線装置
KR20050007830A (ko) 기기간 컨텐츠 교환을 위한 도메인 인증 방법
KR20080050937A (ko) 인증 수행 방법 및 그 장치
JP2017530636A (ja) 認証スティック
JP2004023736A (ja) 無線通信システム及び無線通信システムにおける認証方法
JP2004159063A (ja) 暗号通信システム及び暗号通信装置
CN111885510B (zh) 一种考勤方法、考勤客户端和考勤系统
JP4212450B2 (ja) データ通信装置および通信端末ならびにデータ通信プログラム、データ通信プログラムを記録したコンピュータ読み取り可能な記録媒体
CN105184116A (zh) 智能设备软件加密及本人认证装置及其方法
KR20080077500A (ko) 가시검증 가능한 키 교환 장치, 신뢰된 인증 기관을 이용한가시검증 가능한 키 교환 시스템, 그 방법 및 기록매체
US20230297708A1 (en) System and method for managing data-file transmission and access right to data files
JP7496177B1 (ja) 被認証装置、認証装置、認証要求出力方法、認証方法、及びプログラム
US10541990B2 (en) Client device ticket
CN116543488A (zh) 门禁解锁方法、门禁系统以及可读存储介质
KR100596400B1 (ko) 이동통신매체와 홈네트워크pc간의 보안기반 데이타 동기시스템 및 그 방법

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20050906