JP2004135134A - 無線通信用アダプタ - Google Patents
無線通信用アダプタ Download PDFInfo
- Publication number
- JP2004135134A JP2004135134A JP2002298631A JP2002298631A JP2004135134A JP 2004135134 A JP2004135134 A JP 2004135134A JP 2002298631 A JP2002298631 A JP 2002298631A JP 2002298631 A JP2002298631 A JP 2002298631A JP 2004135134 A JP2004135134 A JP 2004135134A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- ipsec
- authentication
- processing
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】セキュリティの高い無線LAN通信を行わせるとともに、コンピュータ本体の認証・暗号処理の負担を軽減させる。
【解決手段】無線LANアダプタ100は、IPsec処理専用ハードウェアとして、認証・暗号処理部107を備えており、IPパケットの暗号化、認証処理、シーケンス番号の付与などを行い、インターネット上において安全な情報の送受信を可能とするIPsec処理を実行する。
【選択図】 図1
【解決手段】無線LANアダプタ100は、IPsec処理専用ハードウェアとして、認証・暗号処理部107を備えており、IPパケットの暗号化、認証処理、シーケンス番号の付与などを行い、インターネット上において安全な情報の送受信を可能とするIPsec処理を実行する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、無線通信用アダプタに関し、より詳細には、セキュリティの高い無線LAN通信を行わせるとともに、コンピュータ本体による認証・暗号処理の負担を軽減させることが可能な無線通信用アダプタに関する。
【0002】
【従来の技術】
最近、バーチャルプライベートネットワーク(VPN)が注目を集めている。VPNは、インターネットを利用して仮想的に構築される専用回線のことであり、VPNを利用すれば、複数拠点に分かれたLANを統合し、一つのLANとして構築させることができるので、現実に専用回線を引く場合に比べてコストを大幅に抑えることができる。
【0003】
VPNを実現するには、インターネットのようなオープンネットワークにおいて安全な通信を行う必要があるが、そのためにはデータの暗号化(盗聴防止)、改ざんデータの検出(改ざん防止)、送受信相手の認証(なりすまし防止)などの対策を行い、通信上のセキュリティを確保することが不可欠となる。このようなセキュリティ機能を規定したプロトコルとして、IPsec(Internet Protocol Security、または、IP Security Protocol)がある。IPsecは、IPパケットをパケット単位で暗号化・認証するためのプロトコルであり、RFC2393,2401〜2412,2451によって規定される。IPsecは次期のIPv6では標準で実装され、IPv4でもオプションで利用することができる。
【0004】
IPsecの実装形態には、通信を行うコンピュータが直接IPsecを終端する形態と、LAN内のルータ等がIPsecを終端する機能を有しておりLAN間あるいはLANとIPsec機能を有するコンピュータ間の通信をIPsecパケットに変換して通信する形態とがある。直接IPsecを終端する機能を有するコンピュータは「IPsecクライアント」と呼ばれ、IPsecを終端し、LAN間あるいはLANとIPsec機能を有するコンピュータ間の通信をIPsecパケットに変換して通信する機能を有するルータ等は「VPNゲートウェイ」呼ばれる。
【0005】
また最近、ホットスポットと呼ばれる無線LAN環境も注目されている。これは、IEEE802.11に規定される無線LANを利用したネットワークサービスであり、プロバイダによって認証された特定のユーザのみが利用できるものから、アクセス制限なく誰でも自由に接続可能なものまで、幅広いサービスが提供され、またサービスエリアも拡大してきている。このようなサービスを利用すれば、例えば、ユーザが外出先からオフィス内のLAN環境にアクセスしたい場合に、電話回線を利用することなく、高速かつ低コストで社内LANにアクセスすることが可能である。
【0006】
図7は、ホットスポットを含むVPNの一例を示す略ブロック図である。
【0007】
図7に示されるように、無線LANアダプタ701を備えたコンピュータ(PC)702とアクセスポイント(AP)703との間では、インフラストラクチャモードによる無線LANネットワーク、すなわちホットスポット704が構築されており、コンピュータ702はアクセスポイント703を介してインターネット705に接続される。コンピュータ702はIPsecクライアントであり、IPsec機能を実現するプログラムをOSのカーネルの一部あるいはデーモンとして備えている。
【0008】
一方、オフィス内のLAN706に接続された複数のコンピュータ(PC)707はVPNゲートウェイ(VPN−GW)708を介してインターネット705に接続される。
【0009】
ホットスポット側コンピュータ702からオフィス側コンピュータ707へIPパケットを送信する場合には、IPsec処理によりIPパケットの暗号化およびカプセル化を行って、インターネット705上に仮想的なトンネル(VPNトンネル)を生成し、IPパケットはこのVPNトンネルを潜ってVPNゲートウェイまで届けられる。VPNゲートウェイ708では、IPsecパケットの復号化およびカプセルの解除を行って、元のIPパケットに復元した後、LAN706上に転送し、これが宛先のオフィス側コンピュータ707まで届けられる。
【0010】
オフィス側コンピュータ707からホットスポット側702へIPパケットが送信される場合も同様に、オフィス側コンピュータ707から送信されたIPパケットがVPNゲートウェイ708によってIPsec処理され、VPNトンネルを潜ったまま直接宛先のホットスポット側コンピュータ702まで届けられる。ホットスポット側コンピュータ702はIPsecパケットの復号化およびカプセルの解除を行って、元のIPパケットに復元する。
【0011】
図8は、図7に示したホットスポット側コンピュータ(PC)とオフィス側コンピュータ(PC)との間でIPsecによる通信を行う場合の手順を示すシーケンス図である。
【0012】
図8に示されるように、IPsecでは、通信を行う両ノードにおいてコネクションを確立する必要があり、このときの手続はSA(Security Association)と呼ばれ、RFC2409で標準化されたIKE(Internet Key Exchange)という方式が用いられる。IKEでは主として、通信相手の認証、ESP(Encapsulation Security Payload)やAH(Authentication Header)で用いる暗号・認証アルゴリズムの交渉、秘密鍵の交換などが行われ、フェーズ1とフェーズ2という2段階の手続に大きく分けられる。
【0013】
フェーズ1では、IKE自身のSA手続が行われる。まず、IKE通信路の暗号アルゴリズムを交渉した上で(ステップS31)、秘密鍵の交換を行う(ステップS32)。さらに、乱数とハッシュ関数を用いて乱数のハッシュ値(元の乱数に復元できない固有値)を生成し、これを交換するなどして、相互の認証を行う(ステップS33)。
【0014】
フェーズ2では、フェーズ1で交換し合った秘密鍵を用いて安全性の高い通信路を確立した上で、実際のIPsecで用いる暗号・認証アルゴリズムを交渉し(ステップS34)、これに用いる秘密鍵を交換する(ステップS35)。その情報は、両ノードのSADエントリーとして登録され、ESPやAHで利用される。ESPは、IPパケットをパケット単位でカプセル化、暗号化および認証するためのプロトコルであり、RFC2406等に規定されている。またAHは、IPパケットをパケット単位で認証するためのプロトコルであり、RFC2402等に規定されている。
【0015】
コネクションが確立すると、ホットスポット側PCからIPパケットを送信する場合には、ホットスポット側PCによってIPsec処理されたIPsecパケットが生成され(ステップS36)、これが無線LANアダプタを介してインターネット上に送出される(ステップS37)。IPsecパケットはトンネリングによりVPNゲートウェイまで届けられ、復号化されて宛先のオフィス側PCによって受信される(ステップS38)。オフィス側PCからIPパケットを送信する場合には、上記と逆のルートを経由して、そのIPパケットがホットスポット側PCによって受信される(ステップS39〜S41)。
【0016】
【発明が解決しようとする課題】
図8に示したシーケンスをIPsecクライアントであるホットスポット側コンピュータが実行するには、上述したように、IPsec機能を実現するプログラムをOSのカーネルの一部あるいはデーモンとして備えている必要がある。すなわち、SAを行ったり、IPsecパケットの生成やIPパケットへの復元を行ったりすることは、IPsecクライアントのソフトウェア処理によって実現される。
【0017】
しかしながら、IPsec処理を行うために必要な暗号処理は特に負担が大きいため、IPsec機能をソフトウェア処理によって実現すると、IPsecクライアント内のCPU等の演算処理部に相当な負担をかけてしまうことになる。そのため、通信のパフォーマンスが低下したり、マルチタスクの場合に他のタスクの処理速度が著しく低下したりするという問題があった。
【0018】
また、ホットスポットを利用してVPNが構築される場合には、IPsecクライアントからIPパケットが無線LANアダプタを介してキャリアとして送出された時点でオープンネットワーク上にさらされるため、仮にアクセスポイントの後段にVPNが存在していても意味がなく、コンピュータ自身によるIPsec処理が必須となる。
【0019】
一方で、ホットスポットで利用されるコンピュータは、モバイルPCやPDAがほとんどである。そのようなコンピュータは、デスクトップタイプに比べてCPU等の処理能力が低い。したがって、上述した通信パフォーマンスや処理能力の低下の問題は、特に処理能力の低いモバイルPCやPDAで顕著となる。
【0020】
さらにPDAでは、そのハードウェアごとに搭載されるOSが異なっていることが多く、よってIPsec機能を実現させるためのプログラムを統一的に提供することは困難である。
【0021】
さらに、IPsecで使用される秘密鍵や公開鍵などの鍵データ、あるいはデジタル証明書といったデータは通常、IPsecクライアント内のハードディスク等の記録媒体に記録されているため、容易に読み出して複製することが可能であり、セキュリティ上の問題が大きい。
【0022】
したがって、本発明の目的は、セキュリティの高い無線LAN通信を行わせるとともに、コンピュータ本体の認証・暗号処理の負担を軽減させることが可能な無線通信用アダプタを提供することにある。
【0023】
【課題を解決するための手段】
本発明のかかる目的は、IPセキュリティプロトコルに基づき通信を制御するプロトコル処理手段を備えたことを特徴とする無線通信用アダプタによって達成される。
【0024】
また、本発明の前記目的は、PPTPプロトコルに基づき通信を制御するプロトコル処理手段を備えたことを特徴とする無線通信用アダプタによって達成される。
【0025】
本発明によれば、コンピュータにセキュリティの高い無線LAN通信を行わせるとともに、コンピュータ本体の認証・暗号処理の負担を軽減させることができる。
【0026】
本発明の好ましい実施形態においては、前記プロトコル処理手段が、少なくとも、暗号化方式または認証方式の交渉、鍵の交換および通信相手の認証を行ってコネクションを確立する手段と、コネクションごとに設定された前記暗号化方式を用いてIPパケットをパケット単位で暗号化する手段と、コネクションごとに設定された前記認証方式を用いてIPパケットをパケット単位で認証する手段を備えている。
【0027】
本発明のさらに好ましい実施形態においては、前記プロトコル処理手段が、前記IPパケットを暗号化および/または認証するための暗号処理用演算回路を備えている。
【0028】
本発明のさらに好ましい実施形態によれば、前記プロトコル処理手段が暗号処理用演算回路を備えているので、コンピュータ本体側の処理に負担をかけることなく、IPsecを実現することができる。
【0029】
本発明のさらに好ましい実施形態においては、前記IPパケットの認証に用いられるデジタル証明書のデータを記録する可搬型記録媒体を着脱可能なスロットと、前記可搬型記録媒体に対してデータの読み出しおよび/または書き込みを行う記録媒体処理手段を備えている。
【0030】
本発明のさらに好ましい実施形態によれば、記録媒体を装着することができ、記録媒体からデータの読み出しや書き込みを行うことができるので、当該記録媒体にキーペアやデジタル証明書を記録することができ、当該記録媒体を装着するだけでコンピュータをIPsecクライアントにすることができる。
【0031】
【発明の実施の形態】
以下、添付図面を参照しながら、本発明の好ましい実施の形態について詳細に説明する。
【0032】
図1は、本発明の好ましい実施の形態にかかる無線LANアダプタの構成を示すブロック図である。
【0033】
図1に示されるように、この無線LANアダプタ100は、コンピュータ本体に接続されるホストインターフェース101と、このホストインターフェース101に接続されるコントローラ102と、コントローラ102に接続されるRF部103と、RF部に接続されるアンテナ104と、コントローラ102とバス105を介して接続されるメモリ106、認証・暗号処理部107およびメモリカードインターフェース(I/F)108と、メモリカードインターフェース108とカードスロット109を介して接続されるメモリカード110を備えている。
【0034】
コンピュータ本体からインターネット上に送出されるIPパケットは、ホストインターフェース101を介してコントローラ102に入力される。コントローラ102は、パケット生成、CSMA/CA方式によるパケットの衝突回避制御、その他各種の制御を行う。
【0035】
メモリ106には、コントローラ102の動作に必要なプロトコル制御用のプログラムやデータのほか、暗号処理に用いる公開鍵と秘密鍵からなるキーペアや、デジタル証明書などのデータを記録しており、また通信相手ごとに設定された設定情報(通信プロトコル、暗号アルゴリズム、鍵)であるSAD(Security Association Database)や、SADエントリーに付けられたIDであるSPI(Security Parameters Index)等も記録しており、コントローラ102は必要なデータを適宜読み出して処理に用いる。また、処理に必要なデータを一時的にメモリに書き込むこともある。
【0036】
このように、鍵や証明書を無線LANアダプタ内のメモリに記録すれば、認証・暗号処理を無線LANアダプタ内で完結させることができるため、鍵や証明書の複製を防止することができ、セキュリティレベルを向上させることができる。また、例えばIPsecクライアントのコンピュータ本体が故障した場合でも、無線LANアダプタを他のコンピュータに差し替えるだけで、鍵や証明書といった情報も移されるので、データコピーやソフトウェアの設定等を必要とせず、すぐにIPsecクライアントとして使用することができる。
【0037】
認証・暗号処理部107は、詳細には後述するが、IPパケットの暗号化、認証処理、シーケンス番号の付与などを行い、インターネット上において安全な情報の送受信を可能とするIPsec処理を実行する。したがって、IPパケットからIPセキュリティプロトコルパケット(IPsecパケット)を組み立てる機能、およびIPsecパケットからIPパケットを復元する機能を有する。
【0038】
メモリカード110はカードスロット109に対して着脱可能な外部記録媒体であり、鍵や証明書が必要に応じて記録される。鍵や証明書をメモリカード110に記録すれば、メモリカード110を交換するだけで鍵や証明書のデータも写されるので、コンピュータ側でデータコピーやソフトウェアの設定等を必要とせず、すぐにIPsecクライアントとして使用することができる。また、鍵や証明書を記録したメモリカード110を各ユーザに配布すれば、VPNへのアクセスやネットワーク管理が容易となる。
【0039】
RF部103は、IPsecパケットの変調を行う。例えばIEEE802.11bであれば、QPSK方式による一次変調およびスペクトラム拡散方式による二次変調を行って、2.4GHz帯のキャリアを変調し、これがアンテナより送出される。IEEE802.11aであれば、OFDM方式による変調により、5.2GHz帯のキャリアを変調し、これがアンテナ104より送出される。
【0040】
図2は、図1に示した無線LANアダプタを実装したホットスポット側コンピュータ(PC)とオフィス側コンピュータ(PC)との間でIPsecによる通信を行う場合の手順を示すシーケンス図である。
【0041】
IPsecでは、通信を行う両ノードにおいてコネクションを確立する必要があり、このときの手続はSA(Security Association)と呼ばれ、RFC2409で標準化されたIKE(Internet Key Exchange)という方式が用いられる。IKEでは主として、通信相手の認証、ESPやAHで用いる暗号・認証アルゴリズムの交渉、秘密鍵の交換などが行われ、図2に示されるように、フェーズ1とフェーズ2という2段階の手続に大きく分けられる。
【0042】
フェーズ1では、IKE自身のSA手続が行われる。IPsecで使用されるDES等の共通鍵暗号方式では、送受信を行う両者間で同一の鍵を所有する必要がある。しかし、同じ鍵を長い時間利用し続けたり、同じ鍵で暗号化したデータをネットワーク上で大量にやりとりしたりすると、第三者に鍵を推察されてしまう可能性が高くなる。このため、SAの開設に先立ち、両者で共通の鍵を共有し、さらに、一定の期間毎あるいは一定のデータを送受信する度にこの鍵を更新する必要がある。
【0043】
コンピュータ本体から通信要求が送信されると(ステップS11)、無線LANアダプタがIPsecによるVPNの作成を開始する。まず無線LANアダプタは、IKE通信路の暗号アルゴリズムを交渉した上で(ステップS12)、秘密鍵の交換を行う(ステップS13)。通常は、RFC2631によって標準化された公開鍵暗号アルゴリズムであるDiffie−Hellman法を利用することが多い。さらに、なりすましを防ぐため、デジタル証明書を用いて認証を行うか、または乱数とハッシュ関数を用いて乱数のハッシュ値(元の乱数に復元できない固有値)を生成し、これを交換して相互のホスト認証を行う(ステップS14)。
【0044】
フェーズ2では、フェーズ1で交換し合った秘密鍵を用いて安全性の高い通信路を確立した上で、ESPやAHで用いるIPsec用暗号アルゴリズム(DES、3DES、AESなど)や認証アルゴリズム(SHA1、MD5など)を交渉し(ステップS15)、これに用いる秘密鍵を交換する(ステップS16)。その情報は、両ノードのSADエントリーとして登録され、ESP,AHで利用される。
【0045】
IPsecで使用するDES等の共通鍵暗号方式は、送受信を行う両ノード間で同一の鍵を所有する必要があるが、同じ鍵を長い時間利用し続けたり、同じ鍵で暗号化したデータをネットワーク上で大量にやりとりしたりすると、第三者に鍵を推察されてしまう可能性が高くなる。したがって、通常は、フェーズ1の鍵交換を数時間に1回行い、フェーズ2の鍵交換を数十分に1回行うというように、両者を組み合わせた使い方をすることが多い。
【0046】
以上のシーケンスを経て、コネクションが確立し、IPsec用の秘密鍵を用いたデータ通信が行われる。ホットスポット側PCからのIPパケットは、無線LANアダプタに送られ(ステップS17)、無線LANアダプタによって、ESPまたはAHいずれかのプロトコルでIPsec処理がなされて、インターネット上に送出される(ステップS18)。IPsecパケットはトランスポートモードかトンネルモードでVPNゲートウェイまで届けられる。VPNゲートウェイは、ESPであれば復号化する等のIPsec処理を行った後、IPパケットをLAN上に転送するので、IPパケットは宛先のPCに届けられる(ステップS19)。オフィス側PCからIPパケットを送信する場合には、上記と逆のルートを経由して、IPパケットがホットスポット側PCに届けられる(ステップS20〜S22)。
【0047】
上述したデータ通信において、IPsecパケットには、RFC2401、2402および2406の規定に基づき、シーケンス番号(SN値)が付与される。IPsecパケット(ESP/AH)のヘッダは32bitのSN値フィールドを有しており、送信側は、送信パケットのESPヘッダ(RFC2406の場合)、または認証ヘッダ(RFC2402の場合)にこのSN値を付与する。このSN値は、フェーズ2の鍵交換時に0にリセットされ、以降、パケットを送信する毎に1ずつ加算されて行く。
【0048】
受信側では、受信したパケットのSN値が、当該SAにおいて以前利用されたものであるかどうかをチェックする。SN値が以前利用されたものである場合には、当該パケットを直ちに破棄する。すなわち、SN値がオーバーフローする前に鍵交換を再起動しなければならない。
【0049】
このようなシーケンス番号を用いる機構により、リプレイ攻撃が行われたとしても、受信側でSN値の受信履歴をチェックすることによって、直ちに不正なパケットを検出し、破棄することができる。また、第三者がSN値を書き換えた場合でも、IPsecの認証機構においてそのような改ざんを検出することができるため、不正なパケットを検出し、破棄することができる。
【0050】
図3は、AH・トランスポートモードのIPsecパケットの構造を示す図である。
【0051】
AH・トランスポートモードでは、図3(a)に示されるように、「元のIPヘッダ」301、「TCPヘッダ」302および「データ」303からなるIPパケットに対して、図3(b)に示されるように、「元のIPヘッダ」301の直後に「AHヘッダ」304が挿入され、IPsecパケット全体が認証の対象とされる。
【0052】
図4は、AH・トンネルモードのIPsecパケットの構造を示す図である。
【0053】
AH・トンネルモードでは、図4(a)に示されるように、「元のIPヘッダ」401、「TCPヘッダ」402および「データ」403からなるIPパケットに対して、図4(b)に示されるように、先頭に「パブリックIPヘッダ」404が付加され、さらに「パブリックIPヘッダ」の直後に「AHヘッダ」405が挿入され、IPsecパケット全体が認証の対象とされる。
【0054】
図5は、ESP・トランスポートモードのIPsecパケットの構造を示す図である。
【0055】
ESP・トランスポートモードでは、図5(a)に示されるように、「元のIPヘッダ」501、「TCPヘッダ」502および「データ」503からなるIPパケットに対して、図5(b)に示されるように、後端に「ESPトレーラ」504が付加されて、「元のIPヘッダ」501を除いた部分が暗号化の対象とされる。そのための「ESPヘッダ」505が「元のIPヘッダ」501の直後に挿入され、これら全体がパケット認証の対象とされ、そのための「ESP認証データ」506が最後尾に付加される。
【0056】
図6は、ESP・トンネルモードのIPsecパケットの構造を示す図である。
【0057】
ESP・トンネルモードでは、図6(a)に示されるように、「元のIPヘッダ」601、「TCPヘッダ」602および「データ」603からなるIPパケットに対して、図6(b)に示されるように、後端に「ESPトレーラ」604が付加されて、「元のIPヘッダ」601を含む全体が暗号化の対象とされる。そのための「ESPヘッダ」605が「元のIPヘッダ」601の先頭に付加され、これら全体がパケット認証の対象とされ、そのための「ESP認証データ」606が最後尾に付加される。さらに、先頭に「パブリックIPヘッダ」607が付加される。
【0058】
このようなIPsecパケットの作成および復元は、無線LANアダプタ内で処理される。すなわち、図3〜図6の(a)で示したような、コンピュータ本体から送られてくるIPパケットは、各プロトコルに従った無線LANアダプタ内の処理によって図3〜図6の(b)に示したそれぞれのIPsecパケットに組み立てられる一方、アンテナより受信したデータは復調された後、IPsecパケットからIPパケットへ復元される。
【0059】
したがって、セキュリティの高い無線LAN通信を行わせることができ、またコンピュータ本体の認証・暗号処理の負担を軽減させることが可能となり、CPUの処理能力が比較的低いPDAであってもストレスなく通信を行うことができる。
【0060】
本発明は、以上の実施形態に限定されることなく、特許請求の範囲に記載された発明の範囲で種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることはいうまでもない。
【0061】
例えば、本発明に係る無線LANアダプタとしては、いわゆるPCカードタイプのものに限らず、CFタイプやPCIスロットタイプのものまで、あらゆるタイプの無線LANアダプタに適用可能である。
【0062】
また、前記実施形態においては、無線LANアダプタ内に認証・暗号処理部を設け、当該処理部にIPsec処理をすべて行わせる場合を例に説明したが、例えばSA手続のうち暗号処理が必要な部分のみを暗号処理部に行わせ、他の処理、例えば暗号アルゴリズムの交渉等はコンピュータ本体のソフトウェア処理によって行わせてもよい。
【0063】
また、前記実施形態においては、無線LANアダプタがメモリカードインターフェース108およびメモリカードスロット109を備え、メモリカードを装着することができる構成としているが、メモリカードに限定されるものではなく、どのような形状の記録媒体であっても構わない。さらには、デジタル証明書等を内部メモリ106に記録すれば、メモリカードに記録しなくても構わない。
【0064】
さらにまた、前記実施形態においては、無線LANアダプタ内のハードウェアで処理されるプロトコルとして、IPsecを例に説明したが、必ずしもこれに限定されるものではなく、PPTP(Point to Point Tunneling Protocol)やL2TP(Layer 2 Tunneling Protocol)といったVPNを実現する他のプロトコルであっても構わない。
【0065】
【発明の効果】
以上説明したように、本発明によれば、IPsec処理が無線LANアダプタ内の専用ハードウェアによって実行されるので、PCやPDAの本体の処理に負担をかけることがなく、通信パフォーマンスを向上させることができる。また、PCやPDAがハードウェアあるいはソフトウェアによるセキュリティ通信機能を備えていなくても、高セキュリティなネットワーク通信を行うことができる。
【0066】
また、本発明によれば、無線LANアダプタ内に認証・暗号処理部を設けるとともに、キーペアやデジタル証明書が記録されることにより、IPsec処理手段全体が一つのハードウェア内に全部収容され、内部がブラックボックス化されるので、鍵や証明書の盗聴防止等、セキュリティを向上させることができる。
【0067】
また、本発明によれば、PCやPDAのスロットから無線LAN通信アダプタを取り出し、他のPCやPDAに換装するだけで、IPsec処理に必要な鍵や証明書といったデータも一緒に移されるので、コンピュータ本体を変更する際のセキュリティ設定作業が容易となる。
【0068】
【図面の簡単な説明】
【図1】図1は、本発明の好ましい実施の形態にかかる無線LANアダプタの構成を示すブロック図である。
【図2】図2は、図1に示した無線LANアダプタを実装したホットスポット側コンピュータ(PC)とオフィス側コンピュータ(PC)との間でIPsecによる通信を行う場合の手順を示すシーケンス図である。
【図3】図3は、AH・トランスポートモードのIPsecパケットの構造を示す図である。
【図4】図4は、AH・トンネルモードのIPsecパケットの構造を示す図である。
【図5】図5は、ESP・トランスポートモードのIPsecパケットの構造を示す図である。
【図6】図6は、ESP・トンネルモードのIPsecパケットの構造を示す図である。
【図7】図7は、ホットスポットを含むVPNの一例を示す略ブロック図である。
【図8】図8は、図7に示したホットスポット側コンピュータ(PC)とオフィス側コンピュータ(PC)との間でIPsecによる通信を行う場合の手順を示すシーケンス図である。
【符号の説明】
100 無線LANアダプタ(無線通信用アダプタ)
101 ホストインターフェース
102 コントローラ
103 RF部
104 アンテナ
105 バス
106 メモリ
107 認証・暗号処理部
108 メモリカードインターフェース(I/F)
109 カードスロット
110 メモリカード
701 無線LANアダプタ
702 ホットスポット側コンピュータ(PC)
703 アクセスポイント(AP)
704 ホットスポット
705 インターネット
706 オフィス内のLAN
707 コンピュータ(PC)
708 VPNゲートウェイ(VPN−GW)
【発明の属する技術分野】
本発明は、無線通信用アダプタに関し、より詳細には、セキュリティの高い無線LAN通信を行わせるとともに、コンピュータ本体による認証・暗号処理の負担を軽減させることが可能な無線通信用アダプタに関する。
【0002】
【従来の技術】
最近、バーチャルプライベートネットワーク(VPN)が注目を集めている。VPNは、インターネットを利用して仮想的に構築される専用回線のことであり、VPNを利用すれば、複数拠点に分かれたLANを統合し、一つのLANとして構築させることができるので、現実に専用回線を引く場合に比べてコストを大幅に抑えることができる。
【0003】
VPNを実現するには、インターネットのようなオープンネットワークにおいて安全な通信を行う必要があるが、そのためにはデータの暗号化(盗聴防止)、改ざんデータの検出(改ざん防止)、送受信相手の認証(なりすまし防止)などの対策を行い、通信上のセキュリティを確保することが不可欠となる。このようなセキュリティ機能を規定したプロトコルとして、IPsec(Internet Protocol Security、または、IP Security Protocol)がある。IPsecは、IPパケットをパケット単位で暗号化・認証するためのプロトコルであり、RFC2393,2401〜2412,2451によって規定される。IPsecは次期のIPv6では標準で実装され、IPv4でもオプションで利用することができる。
【0004】
IPsecの実装形態には、通信を行うコンピュータが直接IPsecを終端する形態と、LAN内のルータ等がIPsecを終端する機能を有しておりLAN間あるいはLANとIPsec機能を有するコンピュータ間の通信をIPsecパケットに変換して通信する形態とがある。直接IPsecを終端する機能を有するコンピュータは「IPsecクライアント」と呼ばれ、IPsecを終端し、LAN間あるいはLANとIPsec機能を有するコンピュータ間の通信をIPsecパケットに変換して通信する機能を有するルータ等は「VPNゲートウェイ」呼ばれる。
【0005】
また最近、ホットスポットと呼ばれる無線LAN環境も注目されている。これは、IEEE802.11に規定される無線LANを利用したネットワークサービスであり、プロバイダによって認証された特定のユーザのみが利用できるものから、アクセス制限なく誰でも自由に接続可能なものまで、幅広いサービスが提供され、またサービスエリアも拡大してきている。このようなサービスを利用すれば、例えば、ユーザが外出先からオフィス内のLAN環境にアクセスしたい場合に、電話回線を利用することなく、高速かつ低コストで社内LANにアクセスすることが可能である。
【0006】
図7は、ホットスポットを含むVPNの一例を示す略ブロック図である。
【0007】
図7に示されるように、無線LANアダプタ701を備えたコンピュータ(PC)702とアクセスポイント(AP)703との間では、インフラストラクチャモードによる無線LANネットワーク、すなわちホットスポット704が構築されており、コンピュータ702はアクセスポイント703を介してインターネット705に接続される。コンピュータ702はIPsecクライアントであり、IPsec機能を実現するプログラムをOSのカーネルの一部あるいはデーモンとして備えている。
【0008】
一方、オフィス内のLAN706に接続された複数のコンピュータ(PC)707はVPNゲートウェイ(VPN−GW)708を介してインターネット705に接続される。
【0009】
ホットスポット側コンピュータ702からオフィス側コンピュータ707へIPパケットを送信する場合には、IPsec処理によりIPパケットの暗号化およびカプセル化を行って、インターネット705上に仮想的なトンネル(VPNトンネル)を生成し、IPパケットはこのVPNトンネルを潜ってVPNゲートウェイまで届けられる。VPNゲートウェイ708では、IPsecパケットの復号化およびカプセルの解除を行って、元のIPパケットに復元した後、LAN706上に転送し、これが宛先のオフィス側コンピュータ707まで届けられる。
【0010】
オフィス側コンピュータ707からホットスポット側702へIPパケットが送信される場合も同様に、オフィス側コンピュータ707から送信されたIPパケットがVPNゲートウェイ708によってIPsec処理され、VPNトンネルを潜ったまま直接宛先のホットスポット側コンピュータ702まで届けられる。ホットスポット側コンピュータ702はIPsecパケットの復号化およびカプセルの解除を行って、元のIPパケットに復元する。
【0011】
図8は、図7に示したホットスポット側コンピュータ(PC)とオフィス側コンピュータ(PC)との間でIPsecによる通信を行う場合の手順を示すシーケンス図である。
【0012】
図8に示されるように、IPsecでは、通信を行う両ノードにおいてコネクションを確立する必要があり、このときの手続はSA(Security Association)と呼ばれ、RFC2409で標準化されたIKE(Internet Key Exchange)という方式が用いられる。IKEでは主として、通信相手の認証、ESP(Encapsulation Security Payload)やAH(Authentication Header)で用いる暗号・認証アルゴリズムの交渉、秘密鍵の交換などが行われ、フェーズ1とフェーズ2という2段階の手続に大きく分けられる。
【0013】
フェーズ1では、IKE自身のSA手続が行われる。まず、IKE通信路の暗号アルゴリズムを交渉した上で(ステップS31)、秘密鍵の交換を行う(ステップS32)。さらに、乱数とハッシュ関数を用いて乱数のハッシュ値(元の乱数に復元できない固有値)を生成し、これを交換するなどして、相互の認証を行う(ステップS33)。
【0014】
フェーズ2では、フェーズ1で交換し合った秘密鍵を用いて安全性の高い通信路を確立した上で、実際のIPsecで用いる暗号・認証アルゴリズムを交渉し(ステップS34)、これに用いる秘密鍵を交換する(ステップS35)。その情報は、両ノードのSADエントリーとして登録され、ESPやAHで利用される。ESPは、IPパケットをパケット単位でカプセル化、暗号化および認証するためのプロトコルであり、RFC2406等に規定されている。またAHは、IPパケットをパケット単位で認証するためのプロトコルであり、RFC2402等に規定されている。
【0015】
コネクションが確立すると、ホットスポット側PCからIPパケットを送信する場合には、ホットスポット側PCによってIPsec処理されたIPsecパケットが生成され(ステップS36)、これが無線LANアダプタを介してインターネット上に送出される(ステップS37)。IPsecパケットはトンネリングによりVPNゲートウェイまで届けられ、復号化されて宛先のオフィス側PCによって受信される(ステップS38)。オフィス側PCからIPパケットを送信する場合には、上記と逆のルートを経由して、そのIPパケットがホットスポット側PCによって受信される(ステップS39〜S41)。
【0016】
【発明が解決しようとする課題】
図8に示したシーケンスをIPsecクライアントであるホットスポット側コンピュータが実行するには、上述したように、IPsec機能を実現するプログラムをOSのカーネルの一部あるいはデーモンとして備えている必要がある。すなわち、SAを行ったり、IPsecパケットの生成やIPパケットへの復元を行ったりすることは、IPsecクライアントのソフトウェア処理によって実現される。
【0017】
しかしながら、IPsec処理を行うために必要な暗号処理は特に負担が大きいため、IPsec機能をソフトウェア処理によって実現すると、IPsecクライアント内のCPU等の演算処理部に相当な負担をかけてしまうことになる。そのため、通信のパフォーマンスが低下したり、マルチタスクの場合に他のタスクの処理速度が著しく低下したりするという問題があった。
【0018】
また、ホットスポットを利用してVPNが構築される場合には、IPsecクライアントからIPパケットが無線LANアダプタを介してキャリアとして送出された時点でオープンネットワーク上にさらされるため、仮にアクセスポイントの後段にVPNが存在していても意味がなく、コンピュータ自身によるIPsec処理が必須となる。
【0019】
一方で、ホットスポットで利用されるコンピュータは、モバイルPCやPDAがほとんどである。そのようなコンピュータは、デスクトップタイプに比べてCPU等の処理能力が低い。したがって、上述した通信パフォーマンスや処理能力の低下の問題は、特に処理能力の低いモバイルPCやPDAで顕著となる。
【0020】
さらにPDAでは、そのハードウェアごとに搭載されるOSが異なっていることが多く、よってIPsec機能を実現させるためのプログラムを統一的に提供することは困難である。
【0021】
さらに、IPsecで使用される秘密鍵や公開鍵などの鍵データ、あるいはデジタル証明書といったデータは通常、IPsecクライアント内のハードディスク等の記録媒体に記録されているため、容易に読み出して複製することが可能であり、セキュリティ上の問題が大きい。
【0022】
したがって、本発明の目的は、セキュリティの高い無線LAN通信を行わせるとともに、コンピュータ本体の認証・暗号処理の負担を軽減させることが可能な無線通信用アダプタを提供することにある。
【0023】
【課題を解決するための手段】
本発明のかかる目的は、IPセキュリティプロトコルに基づき通信を制御するプロトコル処理手段を備えたことを特徴とする無線通信用アダプタによって達成される。
【0024】
また、本発明の前記目的は、PPTPプロトコルに基づき通信を制御するプロトコル処理手段を備えたことを特徴とする無線通信用アダプタによって達成される。
【0025】
本発明によれば、コンピュータにセキュリティの高い無線LAN通信を行わせるとともに、コンピュータ本体の認証・暗号処理の負担を軽減させることができる。
【0026】
本発明の好ましい実施形態においては、前記プロトコル処理手段が、少なくとも、暗号化方式または認証方式の交渉、鍵の交換および通信相手の認証を行ってコネクションを確立する手段と、コネクションごとに設定された前記暗号化方式を用いてIPパケットをパケット単位で暗号化する手段と、コネクションごとに設定された前記認証方式を用いてIPパケットをパケット単位で認証する手段を備えている。
【0027】
本発明のさらに好ましい実施形態においては、前記プロトコル処理手段が、前記IPパケットを暗号化および/または認証するための暗号処理用演算回路を備えている。
【0028】
本発明のさらに好ましい実施形態によれば、前記プロトコル処理手段が暗号処理用演算回路を備えているので、コンピュータ本体側の処理に負担をかけることなく、IPsecを実現することができる。
【0029】
本発明のさらに好ましい実施形態においては、前記IPパケットの認証に用いられるデジタル証明書のデータを記録する可搬型記録媒体を着脱可能なスロットと、前記可搬型記録媒体に対してデータの読み出しおよび/または書き込みを行う記録媒体処理手段を備えている。
【0030】
本発明のさらに好ましい実施形態によれば、記録媒体を装着することができ、記録媒体からデータの読み出しや書き込みを行うことができるので、当該記録媒体にキーペアやデジタル証明書を記録することができ、当該記録媒体を装着するだけでコンピュータをIPsecクライアントにすることができる。
【0031】
【発明の実施の形態】
以下、添付図面を参照しながら、本発明の好ましい実施の形態について詳細に説明する。
【0032】
図1は、本発明の好ましい実施の形態にかかる無線LANアダプタの構成を示すブロック図である。
【0033】
図1に示されるように、この無線LANアダプタ100は、コンピュータ本体に接続されるホストインターフェース101と、このホストインターフェース101に接続されるコントローラ102と、コントローラ102に接続されるRF部103と、RF部に接続されるアンテナ104と、コントローラ102とバス105を介して接続されるメモリ106、認証・暗号処理部107およびメモリカードインターフェース(I/F)108と、メモリカードインターフェース108とカードスロット109を介して接続されるメモリカード110を備えている。
【0034】
コンピュータ本体からインターネット上に送出されるIPパケットは、ホストインターフェース101を介してコントローラ102に入力される。コントローラ102は、パケット生成、CSMA/CA方式によるパケットの衝突回避制御、その他各種の制御を行う。
【0035】
メモリ106には、コントローラ102の動作に必要なプロトコル制御用のプログラムやデータのほか、暗号処理に用いる公開鍵と秘密鍵からなるキーペアや、デジタル証明書などのデータを記録しており、また通信相手ごとに設定された設定情報(通信プロトコル、暗号アルゴリズム、鍵)であるSAD(Security Association Database)や、SADエントリーに付けられたIDであるSPI(Security Parameters Index)等も記録しており、コントローラ102は必要なデータを適宜読み出して処理に用いる。また、処理に必要なデータを一時的にメモリに書き込むこともある。
【0036】
このように、鍵や証明書を無線LANアダプタ内のメモリに記録すれば、認証・暗号処理を無線LANアダプタ内で完結させることができるため、鍵や証明書の複製を防止することができ、セキュリティレベルを向上させることができる。また、例えばIPsecクライアントのコンピュータ本体が故障した場合でも、無線LANアダプタを他のコンピュータに差し替えるだけで、鍵や証明書といった情報も移されるので、データコピーやソフトウェアの設定等を必要とせず、すぐにIPsecクライアントとして使用することができる。
【0037】
認証・暗号処理部107は、詳細には後述するが、IPパケットの暗号化、認証処理、シーケンス番号の付与などを行い、インターネット上において安全な情報の送受信を可能とするIPsec処理を実行する。したがって、IPパケットからIPセキュリティプロトコルパケット(IPsecパケット)を組み立てる機能、およびIPsecパケットからIPパケットを復元する機能を有する。
【0038】
メモリカード110はカードスロット109に対して着脱可能な外部記録媒体であり、鍵や証明書が必要に応じて記録される。鍵や証明書をメモリカード110に記録すれば、メモリカード110を交換するだけで鍵や証明書のデータも写されるので、コンピュータ側でデータコピーやソフトウェアの設定等を必要とせず、すぐにIPsecクライアントとして使用することができる。また、鍵や証明書を記録したメモリカード110を各ユーザに配布すれば、VPNへのアクセスやネットワーク管理が容易となる。
【0039】
RF部103は、IPsecパケットの変調を行う。例えばIEEE802.11bであれば、QPSK方式による一次変調およびスペクトラム拡散方式による二次変調を行って、2.4GHz帯のキャリアを変調し、これがアンテナより送出される。IEEE802.11aであれば、OFDM方式による変調により、5.2GHz帯のキャリアを変調し、これがアンテナ104より送出される。
【0040】
図2は、図1に示した無線LANアダプタを実装したホットスポット側コンピュータ(PC)とオフィス側コンピュータ(PC)との間でIPsecによる通信を行う場合の手順を示すシーケンス図である。
【0041】
IPsecでは、通信を行う両ノードにおいてコネクションを確立する必要があり、このときの手続はSA(Security Association)と呼ばれ、RFC2409で標準化されたIKE(Internet Key Exchange)という方式が用いられる。IKEでは主として、通信相手の認証、ESPやAHで用いる暗号・認証アルゴリズムの交渉、秘密鍵の交換などが行われ、図2に示されるように、フェーズ1とフェーズ2という2段階の手続に大きく分けられる。
【0042】
フェーズ1では、IKE自身のSA手続が行われる。IPsecで使用されるDES等の共通鍵暗号方式では、送受信を行う両者間で同一の鍵を所有する必要がある。しかし、同じ鍵を長い時間利用し続けたり、同じ鍵で暗号化したデータをネットワーク上で大量にやりとりしたりすると、第三者に鍵を推察されてしまう可能性が高くなる。このため、SAの開設に先立ち、両者で共通の鍵を共有し、さらに、一定の期間毎あるいは一定のデータを送受信する度にこの鍵を更新する必要がある。
【0043】
コンピュータ本体から通信要求が送信されると(ステップS11)、無線LANアダプタがIPsecによるVPNの作成を開始する。まず無線LANアダプタは、IKE通信路の暗号アルゴリズムを交渉した上で(ステップS12)、秘密鍵の交換を行う(ステップS13)。通常は、RFC2631によって標準化された公開鍵暗号アルゴリズムであるDiffie−Hellman法を利用することが多い。さらに、なりすましを防ぐため、デジタル証明書を用いて認証を行うか、または乱数とハッシュ関数を用いて乱数のハッシュ値(元の乱数に復元できない固有値)を生成し、これを交換して相互のホスト認証を行う(ステップS14)。
【0044】
フェーズ2では、フェーズ1で交換し合った秘密鍵を用いて安全性の高い通信路を確立した上で、ESPやAHで用いるIPsec用暗号アルゴリズム(DES、3DES、AESなど)や認証アルゴリズム(SHA1、MD5など)を交渉し(ステップS15)、これに用いる秘密鍵を交換する(ステップS16)。その情報は、両ノードのSADエントリーとして登録され、ESP,AHで利用される。
【0045】
IPsecで使用するDES等の共通鍵暗号方式は、送受信を行う両ノード間で同一の鍵を所有する必要があるが、同じ鍵を長い時間利用し続けたり、同じ鍵で暗号化したデータをネットワーク上で大量にやりとりしたりすると、第三者に鍵を推察されてしまう可能性が高くなる。したがって、通常は、フェーズ1の鍵交換を数時間に1回行い、フェーズ2の鍵交換を数十分に1回行うというように、両者を組み合わせた使い方をすることが多い。
【0046】
以上のシーケンスを経て、コネクションが確立し、IPsec用の秘密鍵を用いたデータ通信が行われる。ホットスポット側PCからのIPパケットは、無線LANアダプタに送られ(ステップS17)、無線LANアダプタによって、ESPまたはAHいずれかのプロトコルでIPsec処理がなされて、インターネット上に送出される(ステップS18)。IPsecパケットはトランスポートモードかトンネルモードでVPNゲートウェイまで届けられる。VPNゲートウェイは、ESPであれば復号化する等のIPsec処理を行った後、IPパケットをLAN上に転送するので、IPパケットは宛先のPCに届けられる(ステップS19)。オフィス側PCからIPパケットを送信する場合には、上記と逆のルートを経由して、IPパケットがホットスポット側PCに届けられる(ステップS20〜S22)。
【0047】
上述したデータ通信において、IPsecパケットには、RFC2401、2402および2406の規定に基づき、シーケンス番号(SN値)が付与される。IPsecパケット(ESP/AH)のヘッダは32bitのSN値フィールドを有しており、送信側は、送信パケットのESPヘッダ(RFC2406の場合)、または認証ヘッダ(RFC2402の場合)にこのSN値を付与する。このSN値は、フェーズ2の鍵交換時に0にリセットされ、以降、パケットを送信する毎に1ずつ加算されて行く。
【0048】
受信側では、受信したパケットのSN値が、当該SAにおいて以前利用されたものであるかどうかをチェックする。SN値が以前利用されたものである場合には、当該パケットを直ちに破棄する。すなわち、SN値がオーバーフローする前に鍵交換を再起動しなければならない。
【0049】
このようなシーケンス番号を用いる機構により、リプレイ攻撃が行われたとしても、受信側でSN値の受信履歴をチェックすることによって、直ちに不正なパケットを検出し、破棄することができる。また、第三者がSN値を書き換えた場合でも、IPsecの認証機構においてそのような改ざんを検出することができるため、不正なパケットを検出し、破棄することができる。
【0050】
図3は、AH・トランスポートモードのIPsecパケットの構造を示す図である。
【0051】
AH・トランスポートモードでは、図3(a)に示されるように、「元のIPヘッダ」301、「TCPヘッダ」302および「データ」303からなるIPパケットに対して、図3(b)に示されるように、「元のIPヘッダ」301の直後に「AHヘッダ」304が挿入され、IPsecパケット全体が認証の対象とされる。
【0052】
図4は、AH・トンネルモードのIPsecパケットの構造を示す図である。
【0053】
AH・トンネルモードでは、図4(a)に示されるように、「元のIPヘッダ」401、「TCPヘッダ」402および「データ」403からなるIPパケットに対して、図4(b)に示されるように、先頭に「パブリックIPヘッダ」404が付加され、さらに「パブリックIPヘッダ」の直後に「AHヘッダ」405が挿入され、IPsecパケット全体が認証の対象とされる。
【0054】
図5は、ESP・トランスポートモードのIPsecパケットの構造を示す図である。
【0055】
ESP・トランスポートモードでは、図5(a)に示されるように、「元のIPヘッダ」501、「TCPヘッダ」502および「データ」503からなるIPパケットに対して、図5(b)に示されるように、後端に「ESPトレーラ」504が付加されて、「元のIPヘッダ」501を除いた部分が暗号化の対象とされる。そのための「ESPヘッダ」505が「元のIPヘッダ」501の直後に挿入され、これら全体がパケット認証の対象とされ、そのための「ESP認証データ」506が最後尾に付加される。
【0056】
図6は、ESP・トンネルモードのIPsecパケットの構造を示す図である。
【0057】
ESP・トンネルモードでは、図6(a)に示されるように、「元のIPヘッダ」601、「TCPヘッダ」602および「データ」603からなるIPパケットに対して、図6(b)に示されるように、後端に「ESPトレーラ」604が付加されて、「元のIPヘッダ」601を含む全体が暗号化の対象とされる。そのための「ESPヘッダ」605が「元のIPヘッダ」601の先頭に付加され、これら全体がパケット認証の対象とされ、そのための「ESP認証データ」606が最後尾に付加される。さらに、先頭に「パブリックIPヘッダ」607が付加される。
【0058】
このようなIPsecパケットの作成および復元は、無線LANアダプタ内で処理される。すなわち、図3〜図6の(a)で示したような、コンピュータ本体から送られてくるIPパケットは、各プロトコルに従った無線LANアダプタ内の処理によって図3〜図6の(b)に示したそれぞれのIPsecパケットに組み立てられる一方、アンテナより受信したデータは復調された後、IPsecパケットからIPパケットへ復元される。
【0059】
したがって、セキュリティの高い無線LAN通信を行わせることができ、またコンピュータ本体の認証・暗号処理の負担を軽減させることが可能となり、CPUの処理能力が比較的低いPDAであってもストレスなく通信を行うことができる。
【0060】
本発明は、以上の実施形態に限定されることなく、特許請求の範囲に記載された発明の範囲で種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることはいうまでもない。
【0061】
例えば、本発明に係る無線LANアダプタとしては、いわゆるPCカードタイプのものに限らず、CFタイプやPCIスロットタイプのものまで、あらゆるタイプの無線LANアダプタに適用可能である。
【0062】
また、前記実施形態においては、無線LANアダプタ内に認証・暗号処理部を設け、当該処理部にIPsec処理をすべて行わせる場合を例に説明したが、例えばSA手続のうち暗号処理が必要な部分のみを暗号処理部に行わせ、他の処理、例えば暗号アルゴリズムの交渉等はコンピュータ本体のソフトウェア処理によって行わせてもよい。
【0063】
また、前記実施形態においては、無線LANアダプタがメモリカードインターフェース108およびメモリカードスロット109を備え、メモリカードを装着することができる構成としているが、メモリカードに限定されるものではなく、どのような形状の記録媒体であっても構わない。さらには、デジタル証明書等を内部メモリ106に記録すれば、メモリカードに記録しなくても構わない。
【0064】
さらにまた、前記実施形態においては、無線LANアダプタ内のハードウェアで処理されるプロトコルとして、IPsecを例に説明したが、必ずしもこれに限定されるものではなく、PPTP(Point to Point Tunneling Protocol)やL2TP(Layer 2 Tunneling Protocol)といったVPNを実現する他のプロトコルであっても構わない。
【0065】
【発明の効果】
以上説明したように、本発明によれば、IPsec処理が無線LANアダプタ内の専用ハードウェアによって実行されるので、PCやPDAの本体の処理に負担をかけることがなく、通信パフォーマンスを向上させることができる。また、PCやPDAがハードウェアあるいはソフトウェアによるセキュリティ通信機能を備えていなくても、高セキュリティなネットワーク通信を行うことができる。
【0066】
また、本発明によれば、無線LANアダプタ内に認証・暗号処理部を設けるとともに、キーペアやデジタル証明書が記録されることにより、IPsec処理手段全体が一つのハードウェア内に全部収容され、内部がブラックボックス化されるので、鍵や証明書の盗聴防止等、セキュリティを向上させることができる。
【0067】
また、本発明によれば、PCやPDAのスロットから無線LAN通信アダプタを取り出し、他のPCやPDAに換装するだけで、IPsec処理に必要な鍵や証明書といったデータも一緒に移されるので、コンピュータ本体を変更する際のセキュリティ設定作業が容易となる。
【0068】
【図面の簡単な説明】
【図1】図1は、本発明の好ましい実施の形態にかかる無線LANアダプタの構成を示すブロック図である。
【図2】図2は、図1に示した無線LANアダプタを実装したホットスポット側コンピュータ(PC)とオフィス側コンピュータ(PC)との間でIPsecによる通信を行う場合の手順を示すシーケンス図である。
【図3】図3は、AH・トランスポートモードのIPsecパケットの構造を示す図である。
【図4】図4は、AH・トンネルモードのIPsecパケットの構造を示す図である。
【図5】図5は、ESP・トランスポートモードのIPsecパケットの構造を示す図である。
【図6】図6は、ESP・トンネルモードのIPsecパケットの構造を示す図である。
【図7】図7は、ホットスポットを含むVPNの一例を示す略ブロック図である。
【図8】図8は、図7に示したホットスポット側コンピュータ(PC)とオフィス側コンピュータ(PC)との間でIPsecによる通信を行う場合の手順を示すシーケンス図である。
【符号の説明】
100 無線LANアダプタ(無線通信用アダプタ)
101 ホストインターフェース
102 コントローラ
103 RF部
104 アンテナ
105 バス
106 メモリ
107 認証・暗号処理部
108 メモリカードインターフェース(I/F)
109 カードスロット
110 メモリカード
701 無線LANアダプタ
702 ホットスポット側コンピュータ(PC)
703 アクセスポイント(AP)
704 ホットスポット
705 インターネット
706 オフィス内のLAN
707 コンピュータ(PC)
708 VPNゲートウェイ(VPN−GW)
Claims (5)
- IPセキュリティプロトコルに基づき通信を制御するプロトコル処理手段を備えたことを特徴とする無線通信用アダプタ。
- PPTPプロトコルに基づき通信を制御するプロトコル処理手段を備えたことを特徴とする無線通信用アダプタ。
- 前記プロトコル処理手段は、少なくとも、
暗号化方式または認証方式の交渉、鍵の交換および通信相手の認証を行ってコネクションを確立する手段と、
コネクションごとに設定された前記暗号化方式を用いてIPパケットをパケット単位で暗号化する手段と、
コネクションごとに設定された前記認証方式を用いてIPパケットをパケット単位で認証する手段を備えたことを特徴とする請求項1または2に記載の無線通信用アダプタ。 - 前記プロトコル処理手段は、前記IPパケットを暗号化および/または認証するための暗号処理用演算回路を備えたことを特徴とする請求項3に記載の無線通信用アダプタ。
- 前記IPパケットの認証に用いられるデジタル証明書のデータを記録する可搬型記録媒体を着脱可能なスロットと、
前記可搬型記録媒体に対してデータの読み出しおよび/または書き込みを行う記録媒体処理手段を備えたことを特徴とする請求項3または4に記載の無線通信用アダプタ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002298631A JP2004135134A (ja) | 2002-10-11 | 2002-10-11 | 無線通信用アダプタ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002298631A JP2004135134A (ja) | 2002-10-11 | 2002-10-11 | 無線通信用アダプタ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004135134A true JP2004135134A (ja) | 2004-04-30 |
Family
ID=32287981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002298631A Withdrawn JP2004135134A (ja) | 2002-10-11 | 2002-10-11 | 無線通信用アダプタ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004135134A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006080936A (ja) * | 2004-09-10 | 2006-03-23 | Japan Radio Co Ltd | 通信端末及び通信方法 |
| WO2007031597A1 (en) * | 2005-09-15 | 2007-03-22 | Network Services Finland Oy | Wireless local area network, adapter unit and equipment |
| JP2007202178A (ja) * | 2004-07-23 | 2007-08-09 | Citrix Systems Inc | プライベートネットワークへのアクセスを安全にする方法およびシステム |
| JP2007208632A (ja) * | 2006-02-01 | 2007-08-16 | Sony Corp | 情報処理装置および方法、プログラム、並びに記録媒体 |
| JP2009055201A (ja) * | 2007-08-24 | 2009-03-12 | Ricoh Co Ltd | 通信システム及び通信装置 |
| JP2011505729A (ja) * | 2007-11-22 | 2011-02-24 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動通信ネットワークにおいて使用するための方法及び装置 |
| US8266428B2 (en) | 2006-01-12 | 2012-09-11 | Samsung Electronics Co., Ltd. | Secure communication system and method of IPv4/IPv6 integrated network system |
-
2002
- 2002-10-11 JP JP2002298631A patent/JP2004135134A/ja not_active Withdrawn
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007202178A (ja) * | 2004-07-23 | 2007-08-09 | Citrix Systems Inc | プライベートネットワークへのアクセスを安全にする方法およびシステム |
| JP4708376B2 (ja) * | 2004-07-23 | 2011-06-22 | サイトリックス システムズ, インコーポレイテッド | プライベートネットワークへのアクセスを安全にする方法およびシステム |
| JP2006080936A (ja) * | 2004-09-10 | 2006-03-23 | Japan Radio Co Ltd | 通信端末及び通信方法 |
| WO2007031597A1 (en) * | 2005-09-15 | 2007-03-22 | Network Services Finland Oy | Wireless local area network, adapter unit and equipment |
| US8266428B2 (en) | 2006-01-12 | 2012-09-11 | Samsung Electronics Co., Ltd. | Secure communication system and method of IPv4/IPv6 integrated network system |
| JP2007208632A (ja) * | 2006-02-01 | 2007-08-16 | Sony Corp | 情報処理装置および方法、プログラム、並びに記録媒体 |
| US7961614B2 (en) | 2006-02-01 | 2011-06-14 | Sony Corporation | Information processing device, information processing method, and recording medium for reducing consumption of memory capacity |
| JP2009055201A (ja) * | 2007-08-24 | 2009-03-12 | Ricoh Co Ltd | 通信システム及び通信装置 |
| JP2011505729A (ja) * | 2007-11-22 | 2011-02-24 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動通信ネットワークにおいて使用するための方法及び装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11792169B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| US7028186B1 (en) | Key management methods for wireless LANs | |
| US8838957B2 (en) | Stateless cryptographic protocol-based hardware acceleration | |
| US6965992B1 (en) | Method and system for network security capable of doing stronger encryption with authorized devices | |
| JP4707992B2 (ja) | 暗号化通信システム | |
| US20100119069A1 (en) | Network relay device, communication terminal, and encrypted communication method | |
| KR100966398B1 (ko) | 보안 네트워크 환경에서 크리덴셜 및 소프트웨어 이미지제공 방법 | |
| JP4346094B2 (ja) | パケット暗号処理代理装置 | |
| US7574737B1 (en) | Systems and methods for secure communication over a wireless network | |
| EP3613195B1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| US20080141360A1 (en) | Wireless Linked Computer Communications | |
| US20120272310A1 (en) | Systems and methods for secure communication over a wireless network | |
| CN112788594B (zh) | 数据传输方法、装置和系统、电子设备、存储介质 | |
| JP4245972B2 (ja) | 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体 | |
| WO2020007308A1 (zh) | 报文处理方法以及接收端服务器 | |
| JP2004135134A (ja) | 無線通信用アダプタ | |
| US7784086B2 (en) | Method for secure packet identification | |
| Yang et al. | An improved security scheme in WMAN based on IEEE standard 802.16 | |
| WO2020140929A1 (zh) | 一种密钥生成方法、ue及网络设备 | |
| JP2002344443A (ja) | 通信システムおよびセキュリティアソシエーション切断/継続方法 | |
| JP2005244379A (ja) | Vpnシステム、vpn装置及びそれらに用いる暗号化鍵配布方法 | |
| Pandey et al. | A system and method for authentication in wireless local area networks (wlans) | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| WO2023024540A1 (zh) | 处理报文、获取sa信息的方法、装置、系统及介质 | |
| US20240022402A1 (en) | A Method for Tunneling an Internet Protocol Connection Between Two Endpoints |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060110 |